EXÁMEN TRANSVERSAL

“INTRODUCCIÓN A LA
CIBERSEGURIDAD”

INTEGRANTES: JOAQUIN ARDILES

ELIAS ARRIOLA
JUAN RIVERA
BRYAN TAPIA

PROFESOR: JAIME GOMEZ GONZALEZ

 ÍNDICE

I) Investigación de ataques
II) Análisis dinámico de malware
III) Auditoria contraseñas Windows
IV) Protección del servidor
V) Ataques LAN
VI) Verificación de integridad de archivos
VII) Criptografía, confidencialidad de la
información
VIII) Capturas del tráfico
 I) INVESTIGACIÓN DE ATAQUES: Debe investigar y documentar qué son los
ataques “de cadena de suministro”, y describa uno de ellos. Hay varios de gran
envergadura e impacto a nivel mundial. Entregue recomendaciones a la
empresa para disminuir el riesgo de ser víctima de alguno de ellos. Describa
con sus palabras, agregue imágenes (capturas de pantalla) y no se extienda
tanto, sea breve.

Investigación N°1
Ataque a la cadena de suministro o ataque a la cadena de valor, es un ataque en el cuál el
atacante busca ingresar a la red de trabajo de una empresa a través de sus vendedores o
proveedores, también por medios de su cadena de suministro, ingresando con ellos un
malware, que, por ejemplo, permita detectar las pulsaciones de las teclas y saber así las
contraseñas de X cuentas.

Un ejemplo de este tipo de ataques es el caso de SolarWinds:

la empresa de TI SolarWinds fue la víctima de un ataque a la cadena de suministro con
malware, que se envió a través de los propios servidores de la empresa durante una
actualización del software. Este ataque afectó al Departamento del Tesoro de EE. UU., a su
Departamento de Defensa y a muchos otros
Estos ataques pueden ser por 3 medios: Hardware, firmware o software.
Software: Solo necesita que una parte de un software comprometido o aplicación mande
el malware a la cadena de suministro, buscando actualizaciones de software o
aplicaciones que sirven como puntos de entrada. El problema de los ataques por software
es que son difíciles de rastrear ya que los ciberdelincuentes roban certificados para
hacerlos pasar por legítimos.
Hardware: Estos solo se producen por un dispositivo físico, como por ejemplo el detector
de pulsaciones comentado anteriormente dentro de un USB, los atacantes dirigirán al
dispositivo por toda la cadena de mando para maximizar el daño y su alcance.
Firmware: Estos pueden ser extremadamente dañinos poniendo en alto riesgo a todo el
sistema, el ataque a la cadena de suministro por firmware, busca colocar un malware en el
código de arranque de un computador, al momento de iniciar, este malware se ejecuta
poniendo en riesgo todo el sistema, los ataques de firmware son rápidos y
extremadamente dañinos.
RECOMENDACIONES PARA DISMINUIR EL RIESGO
1. Invertir en formación en ciberseguridad para los trabajadores.
2. Segmentar el área de trabajo de la empresa, de esa forma, solo una pequeña zona
de la empresa será dañada.
3. Aplicar controles de acceso a los proveedores, permitir que sus vendedores solo
tengan acceso a lo estrictamente necesario para realizar su labor.
4. Herramientas de monitoreo de red, Monitorear la red para detectar actividades
sospechosas.
Investigación N°2
Los ataques a la cadena de suministro son un tipo emergente de amenaza que se dirige a
los desarrolladores y proveedores de software. El objetivo es tener acceso a códigos
fuente, procesos de compilación o mecanismos de actualización mediante la infección de
aplicaciones legítimas para distribuir malware.

Tipos de ataques de cadena de suministro:

- Herramientas de creación de software en peligro o infraestructura actualizada

- Certificados de firma de código robados o aplicaciones malintencionadas firmadas

mediante la identidad de la empresa de desarrollo

- Código especializado en peligro enviado a componentes de hardware o firmware

- Malware preinstalado en dispositivos (cámaras, USB, teléfonos, etc.)

Protección contra ataques en la cadena de suministro:

- Implemente directivas de integridad de código seguro para permitir que solo se

ejecuten aplicaciones autorizadas.
- Use soluciones detección y respuesta de puntos de conexión que puedan detectar
y corregir automáticamente actividades sospechosas.

Para desarrolladores y proveedores de software:

Mantener una infraestructura de compilación y actualización altamente segura.

- Aplique inmediatamente revisiones de seguridad para el sistema operativo y el

software.
- Implemente controles de integridad obligatorios para garantizar que solo se
ejecuten herramientas de confianza.
- Requerir la autenticación multifactor para los administradores.

Cree actualizadores de software seguros como parte del ciclo de vida de desarrollo de
software.

- Requerir SSL para los canales de actualización e implementar el anclaje de

certificados.
- Firme todo, incluidos los archivos de configuración, los scripts, los archivos XML y
los paquetes.
 - Busque firmas digitales y no permita que el actualizador de software acepte
comandos y entradas genéricos.
Desarrolle un proceso de respuesta a incidentes para ataques en la cadena de suministro.
Divulgación de incidentes de la cadena de suministro y notificación a los clientes con
información precisa y oportuna

II) ANÁLISIS DINÁMICO DE MALWARE: Usando las herramientas de Kali Linux

(msfvenom) con interfaz Puente o Nat, y una aplicación portable ejecutable (PE), debe
crear un malware que genere una shell reversa hacia su equipo atacante. Debe ser para
Windows de 32 bits y el payload windows/shell_reverse_tcp. Use plataformas de análisis
dinámico como virustotal y app.any.run para obtener los IoC (Indicadores de
Compromiso) y comprobar si es detectado como malware por las diferentes herramientas
antimalware. Los IoC deben ser en texto y agregue capturas de lo realizado
III) AUDITORÍA CONTRASEÑAS WINDOWS Le han solicitado realizar una auditoría
a las contraseñas de usuarios de un equipo Windows. Han obtenido los hashs del sistema,
y necesitan validar si son robustas o no. Descargue el archivo capturado y analice:
Descargue archivo: https://cybersecurityforall.s3.amazonaws.com/win7 Enlace
alternativo: https://github.com/ncontador/cybersecurityforall/blob/main/win7  Debe
obtener los usuarios y sus contraseñas. Use las herramientas de Kali (JTR, hashcat).
Realice capturas del proceso.  Entregue 3 recomendaciones de gestión correctas de
contraseñas.

- Crea tu propia fórmula para contraseñas

Para poder recordar todas las contraseñas que vas a crear es importante que inventes una
fórmula completamente única que cumpla con tres reglas: que sea difícil de adivinar, que
tenga todo tipo de caracteres, y que la puedas relacionar con algo para que sea fácil de
recordar. Para que todo esto sea posible hay varias cosas que puedes hacer; veamos algunas
idas.

- No uses datos personales

Es muy importante que evites el uso de datos que cualquiera puede descubrir solo mirando
tu perfil de Facebook. Sin embargo, hay datos que aún serán personales y que puedes
utilizar, pero que no sean del dominio público o que consideres poco comunes. Por
ejemplo, si una tus cosas favoritas son las series de televisión, puedes usar el nombre de
varios programas que te gusten para crear contraseñas mezclándolos con otros datos.

- Crea patrones
Otra gran idea es memorizar patrones en el teclado, pero también dependerá de que tan
buena memoria visual tengas. Sería como recordar un patrón largo para desbloquear el
teléfono solo que en el teclado de un ordenador. De esta forma siempre harás los mismos
movimientos y realmente no importará mucho qué caracteres incluya, con tal de que tengan
números, letras y símbolos.

IV) PROTECCIÓN DEL SERVIDOR La empresa está muy preocupada por la seguridad de
uno de sus servidores Linux. Ese servidor tiene servicios WEB (http, https), FTP y SSH a
los cuales desea dar acceso, pero de manera controlada y a ningún otro servicio, sólo a esos
3. Debe agregar reglas de protección restrictivas al servidor, o sea, que bloqueen todo lo
desconocido, y que permitan http (80), https(443), ftp (21) desde cualquier origen y SSH
(22)sólo desde su computador personal, además, agregue una regla que permita hacer ping
desde su equipo personal hacia el servidor.
V) ATAQUES LAN Están muy preocupados por posibles ataques en la capa de acceso a la
red, y le han solicitado probar si es posible realizar ARP poisoning, MAC spoofing y
ataques de hombre del medio (MiTM). Para eso debe realizar un ataque de arp spoofing,
suplantando a una víctima de la red y a su gateway, de tal manera de capturar tráfico de la
víctima hacia y desde Internet. Si se han aplicado los controles y medidas correctas de
seguridad, ese ataque no debería tener éxito.  Realice el ataque de arp spoofing, el que le
permitirá realizar un ataque de hombre del medio.  Capture tráfico de la víctima,
aprovechando el ataque de MiTM
VI) VERIFICACIÓN DE INTEGRIDAD DE ARCHIVOS En la empresa sospechan que
algunos archivos han sido modificados, eso puede ser por corrupción, alteración maliciosa,
o infección. Por tal motivo le han pedido que verifique la integridad de varios archivos. Use
la herramienta con la que se sienta más cómo para obtener los hashes MD5, SHA1, y
SHA256 de los siguientes archivos. Descargue y obtenga los hashes de cada archivo
comprimido y descomprimido y compare ambos.  Archivo 1:
https://cybersecurityforall.s3.amazonaws.com/Desolacion.rar  Enlace alternativo:
https://github.com/ncontador/cybersecurityforall/raw/main/Desolacion.rar  Archivo 2:
https://cybersecurityforall.s3.amazonaws.com/Piececitos.rar  Enlace alternativo:
https://github.com/ncontador/cybersecurityforall/raw/main/Piececitos.rar  Archivo 3:
https://cybersecurityforall.s3.amazonaws.com/Riqueza.rar  Enlace alternativo:
https://github.com/ncontador/cybersecurityforall/raw/main/Riqueza.rar
VIII. CAPTURAS DE TRÁFICO Se han descubierto accesos no autorizados a servicios http y
ftp, y durante una auditoría ha capturado tráfico que debe analizar. Para comprobar si es
efectivo que es posible obtener las credenciales escuchando el tráfico de la red, le han
entregado archivos de captura que debe analizar. Obtenga las credenciales de los servicios
web y ftp de los siguientes archivos. Use Wireshark para abrirlos y analizar. Descargue
captura web y obtenga las credenciales de acceso a HTTP:
https://cybersecurityforall.s3.amazonaws.com/CapturaWEB.pcapng Link alternativo:
https://github.com/ncontador/cybersecurityforall/raw/main/CapturaWEB.pcapng
Descargue captura web y obtenga las credenciales de acceso a FTP:
https://cybersecurityforall.s3.amazonaws.com/CapturaFTP.pcapng Link alternativo:
https://github.com/ncontador/cybersecurityforall/raw/main/CapturaFTP.pcapn