Modulo 2 CiberSeguridad

Instituto Superior ISE en Argentina ---– www.isecursos.com.
ar
Instituto Superior ISE en otros Países – www.isecursos.com
______________________________________________
CURSO DE CIBERSEGURIDAD
Módulo 2
Definiciones de Adware y Spyware

Se define como Adware al software que despliega publicidad de distintos productos o
servicios. Estas aplicaciones incluyen código adicional que muestra la publicidad en
ventanas emergentes, o a través de una barra que aparece en la pantalla simulando
ofrecer distintos servicios útiles para el usuario.
Generalmente, estas aplicaciones agregan iconos gráficos en las barras de herramientas
de los navegadores de Internet o en los clientes de correo. Estas barras de tareas
personalizadas tienen palabras claves predefinidas para que el usuario llegue a sitios con
publicidad, sea lo que sea que el mismo esté buscando.
Se define como Spyware o Software Espía a las aplicaciones que recopilan información
sobre una persona u organización sin su conocimiento, ni consentimiento. El objetivo más
común es distribuirlo a empresas publicitarias u otras organizaciones interesadas.
Normalmente, estos softwares envían información a sus servidores, en función de los
hábitos de navegación del usuario. También, recogen datos acerca de las webs que se
visitan y la información que se solicita en esos sitios, así como direcciones IP y URLs que
se navegan.
Esta información es explotada para propósitos de mercadotecnia y muchas veces es el
origen de otra plaga como el SPAM, ya que pueden encarar publicidad personalizada
hacia el usuario afectado. Con estos datos, además, es posible crear perfiles estadísticos
de los hábitos de los internautas.
Diferencias entre adware, spyware y virus
Mientras el virus es un pequeño programa, o una línea de código adosadas a otro

programa, y que puede reproducirse, lejos de eso, este nuevo tipo de amenazas (adware
y Spyware) tiene otro fin específico, ligado al lucro y la creación de nuevos mercados.
1
ISE CURSOS – Curso de Ciberseguridad
Instituto Superior ISE en Argentina ---– www.isecursos.com.ar
______________________________________________
Sin embargo, hay muchas similitudes entre estas amenazas y los virus. De hecho, los
adware y Spyware siempre intentan esconderse en usuarios y programas removedores
para poder seguir trabajando e introduciendo más y más publicidades, así como los virus
intentan evitar ser eliminados.
Algunos tipos de malware, como los llamados caballo de Troya, por ejemplo, usan ciertas
técnicas para esconderse de las garras de removedores y antivirus que hacen más
evidente el parentesco entre virus y amenazas del tipo de los adware y Spyware. Sin
embargo, los programas para remover unos y otros ataques están claramente
diferenciados, y solo algunas suites de aplicaciones los incluyen en un mismo paquete,
AVG, por ejemplo, ofrece AVG Internet Security, una suite completa de protección
antivirus y antispyware.
Software libre y Software gratuito
Son muchos los programas que instalan consigo Adware, y sobre ellos cabe hacer
algunos comentarios. Es importante diferenciar software Gratito de software libre. El
software cuya descarga es gratuita no siempre es libre, y, muchos casos, el hecho de que
no lo sea cobrado al usuario no supone que no tenga costo. De este modo, muchas
descargas gratuitas se finanza mediante la inclusión de un banner (un cartel de
publicidad) en el programa mismo, y otros, más directos, colocan un Adware, instalación
por la cual reciben un pago por parte del producto de la amenaza.
La inclusión de Adware en los programas esta siempre documentada, y, si el usuario lee

el contrato de licencia, encontrara a información sobre el programa en cuestión,
desafortunadamente, son pocos los usuarios que se toman el tiempo necesario para leer
el contrato de licencia de usuario final (cluf, o eula de inglés end user license agreement).
Si vamos a utilizar el software gratuito, resulta fundamental que nos informemos sobre las
condiciones en las que se distribuye el producto.
Una aplicación libre o de código abierto, en cambio, está sustentada por un macro
filosófico que le impedirá incluir Adware u otras amenazas. Además, las aplicaciones
2
______________________________________________
creadas según este modo de distribución suelen compartir la licencia GNU/GPL. Por lo
general, es posible utilizar sin mayores riesgos las aplicaciones libres.
Por otra parte, es posible encontrar en la red programas de dudosa utilidad que estén
creados, en últimas instancias, pura y exclusivamente para distribuir adware. Así,
calendarios que se instalan en la zona de notificación de la barra de tarea o programas
encargados de informar el estado de tiempo que ya ofrece el Gadget de la Windows
sidebar podrían contener una importantísima cantidad de adware. Los paquetes de
smileys (emoticones utilizados en los mensajeros instantáneos) son ejemplos clásicos de
esta situación. En general, para poder utilizarlos, debemos aceptar la instalación de tres o
cuatro servidores de adware.
Para terminar de entender el problema de adware y el Spyware, es importante pensar una

vez más en el tema de las licencias. No siempre hay que desconfiar de los productos:
muchas veces en la licencia de software infectado con Spyware se nos notifica de esta
situación y nos explica que datos va a recolectar el Spyware. Pero, si no prestamos
atención al contrato de licencia, difícilmente tomemos conocimientos de la instalación del
software indeseado.
3
______________________________________________
Adware y spyware en funcionamiento
¿Cómo entran en nuestras PCs?
1. Al visitar sitios de Internet que nos descargan su código malicioso (ActiveX,

JavaScripts o Cookies), sin nuestro consentimiento.
2. Acompañando algún virus o llamado por un Troyano. Estando ocultos en un

programa gratuitos (Freeware) los cuales al aceptar sus condiciones de uso
(casi siempre en inglés y que no leemos) estamos aceptando que cumplan
sus funciones de espías.
3. La idea central de Spyware es ayudar a focalizar promociones de ventas, al

utilizar la información provista por la amenaza para individualizar el material.
Mientras en Spyware se encarga de clasificar los hábitos de consumo del
usuario, el adware le acerca a este los productos que probablemente quiera
comprar.
4. Los productos de adware alegran que lo que ellos hacen es legal, ya que le
ofrece a los consumidores productos que, en realidad, podrían interesarles.
Los instaladores de Spyware se cubren diciendo que, en tanto los usuarios
son tratados de forma anónima en la base de datos de la página, no hay
violencia en la privacidad. Estas posiciones son discutibles, y es una
problemática para los consumidores decir hasta qué punto el mercado
puede, o no, entremeterse en sus vidas.
5. Por otra parte, algunos adware y Spyware insisten cambiar continuamente

la página de inicio de los buscadores y muestran todo el tiempo avisos sin
criterios aparente. Esta situación hace que los alegatos de los productos de
este tipo de programa resulten aún más inverosímiles, y que los usuarios
busquen una forma eficaz de eliminarlos de sus computadoras.
4
______________________________________________
¿Qué información nos pueden sacar?
Pueden tener acceso, por ejemplo: a Tu correo electrónico y el password, dirección IP y

DNS, teléfono, país, páginas que visitas y de que temas te interesan, que tiempos estas
en ellas y con qué frecuencia regresas, que software tienes y cuales descargas, que
compras haces por internet y datos más importantes como tu tarjeta de crédito y cuentas
de banco.
¿Cuáles son los síntomas de tener un Adware?
Los Adwares se dedican a mostrarnos publicidades en los programas que estos vienen
incluidos por medios de banners en estos, pero ya los más peligrosos nos van a abrir
ventanitas pop-ups por todas partes, van a agregar direcciones en los favoritos del IE y
van a instalarnos barras de herramientas con el único objetivo de que naveguemos
siempre dentro de sus redes de publicidad.
Los 5 principales síntomas de infección son:
1. Se nos cambian solas las páginas de inicio, error y búsqueda del navegador.
2. Se nos abren ventanitas pop-ups por todos lados, incluso sin estar conectados y
sin tener el navegador abierto, la mayoría son de temas pornográficos.
3. Barras de búsquedas de sitios como la de Toolbar888, Hotbar, MyWebSearch

Security Toolbar, etc.… que no podemos eliminar.
4. Iconos que aparecen al costado del reloj con insistentes avisos de infección.
5. La navegación por la red se hace cada vez más lenta.
5
______________________________________________
Formas de protección con el adware
• Para poder proteger el ordenador contra los adwares, en la mayoría de los

casos hay que seguir los siguientes pasos cada cierto tiempo:
• Ejecute las actualizaciones de antispyware y antiadware, así como analizar

regularmente su sistema.
• Activar las opciones de inmunización en el software antispyware y

antiadware.
• Asegurarse que el software del sistema operativo, navegador y correo

electrónico tiene las actualizaciones más recientes para cubrir los agujeros
de seguridad.
• Tener activado el cortafuego (firewall) cuando se usa Internet.
• Utilizar la protección preventiva contra los sitios Web peligrosos.
Adware y Spyware en América
A esta lógica de apertura de ventanas y avisos que tienen algunos adwares, se le suma la
imposibilidad de ciertos Spyware de clasificar detenidamente datos. Con esto nos
referimos, a manera específica, a lo siguiente: muchos adware y Spyware están pensados
para funcionar en mercados particulares con lógicas de articulación también muy
específicas, como, por ejemplo, el norteamericano, el europeo o algún asiático.
Pero en los mercados más inestables o con consumos menos catalógales, como el
latinoamericano o el de Europa del este, las estrategias de focalización fallan, y no hay
forma de enviar avisos muy específicos a los usuarios devenidos en consumidores. En
ese caso, la estrategia de los adware y Spyware es enviar avisos que consideran que
pueden resultar interesante a cualquier usuario, el criterio suele consistir en mostrar, de
manera indiscriminada, publicidades de sitios asociados al juego y los casinos en línea, o
directamente avisos de cortes pornográfico.
6
______________________________________________
Recomendaciones para evitar Adware y Spyware
Las recomendaciones para evitar la instalación de este tipo de software son las
siguientes:
1. Verifique cuidadosamente los sitios por los que navega, ya que es muy
común que estas aplicaciones auto-ofrezcan su instalación o que la
misma sea ofrecida por empresas de dudosa reputación.
2. Si es posible, lea atentamente las políticas de privacidad de estas

aplicaciones. Generalmente incluyen puntos como "recolectamos la
siguiente información del usuario" o "los daños que causa la aplicación
no es nuestra responsabilidad" o "al instalar esta aplicación Ud. autoriza
que entreguemos sus datos a.…".
3. Estas aplicaciones normalmente prometen ser barras con

funcionalidades extras que se instalan sobre el explorador.
4. Actualmente, se nota una importante aparición de aplicaciones que

simulan ser software antispyware que en realidad contiene spyware.
Una lista de los mismos puede ser encontrada en la dirección que se
detalla al pie del presente.
5. Cuando una aplicación intente instalarse sin que Ud. lo haya solicitado,
desconfíe y verifique la lista anterior.
6. Es común que los sitios dedicados al underground o pornográficos,

contengan un alto contenido de programas dañinos que explotando
diversas vulnerabilidades del sistema operativo o del explorador, le
permiten instalarse.
7. los privilegios de usuarios. Es común que todos los usuarios que hacen
uso de la computadora lo hagan con permisos administrativos. Esto no
necesariamente debe ser así, es recomendable que cada usuario tenga
su propio perfil, sólo con los permisos necesarios para realizar sus
7
______________________________________________
tareas. Ya que esto disminuye el campo de acción de un posible intruso

(virus, backdoor, usuario no autorizado, etc.).
8. Estas aplicaciones evolucionan continuamente por lo que contar con un

antivirus actualizado y con capacidades proactivas es fundamental para
detectar estas aplicaciones y evitar su instalación.
Buscadores de agujeros
En la Argentina existe un grupo de laboratorios y consultoras dedicado a buscar

"agujeros" en los sistemas de seguridad. Core SDI tiene sus propios laboratorios, donde
se investigan y evalúan las distintas tecnologías de seguridad informática para desarrollar
otras en función de los resultados que obtienen.
Además de proveer software, Zampatti, Maida & Asociados ofrece servicios de

consultoría, soporte técnico y capacitación. También envía por e-mail un resumen con las
últimas noticias acerca de nuevos virus y problemas de seguridad en programas de
encriptación.
Por su parte, la empresa GIF tiene servicios de seguridad informática, controla fraudes y
desarrolla software para proteger la información, como Firewalls (barreras de seguridad
entre una red interna conectada a Internet o a una intranet) y sistemas de encriptación.
Todas tienen el mismo objetivo: investigar las tecnologías de seguridad informática y

adaptarlas (si se puede) a las necesidades argentinas.
Hoy, en muchas corporaciones, un hambre de información perpetuo e insaciable ha

generado temas de seguridad graves y difíciles de solucionar. El crecimiento de Internet
ha generado un aumento en las posibilidades de intrusión electrónica desde adentro y
desde afuera de las empresas.
No cabe duda de que los gerentes de sistemas y de redes necesitan contar con métodos
y mecanismos efectivos, capaces de detectar ataques y disminuir el riesgo de robo de
información, sabotaje y todo acceso no deseado a datos de la empresa.
8
______________________________________________
A pesar de que los "net management systems" (sistemas de administración de redes), los
"routers" y los "firewalls" son capaces de registrar problemas de la red predefinidos, un
nuevo tipo de software llamado intrusion detection system (IDS) (sistema de detección de
intrusos) los supera en términos de qué es lo que detectan y cómo denuncian los
problemas potenciales a los gerentes de redes.
Los productos IDS no eliminan todos los problemas de seguridad, pero ofrecen beneficios
que los convierten en una opción que vale la pena considerar.
Para observar la conducta real de los IDS, NSTL Inc. (Conshohocken, PA) revisó de
forma sistemática y probó cinco productos IDS de primera línea, fabricados por Anzen,
Cisco, ISS e Internet Tools Inc. Estas pruebas proveen a los gerentes de redes de toda la
información que necesitan para determinar de qué forma los productos IDS pueden servir
a sus necesidades de protección de la red.
Los resultados de la prueba de NSTL permiten también a los gerentes de redes tomar
prudentes decisiones de compra, basadas en "rated management capabilities"
(capacidades nominales de administración) y "benchmarked performance" (performance
de pruebas).
Características de los IDS
Varias cualidades importantes de los IDS los ubican bastante más allá de los "network
management systems", los "routers", los "firewalls" y otros medios de protección de redes.
Todos los productos, con excepción del Sessionwall-3, de Abirnet Inc. (Dallas), constan
de un monitor y una "management station" (estación de administración) que recoge
información de monitores (Sessionwall-3 es manejado de forma local).
A diferencia de los productos de monitoreo remoto (RMON), los IDS no usan SNMP -que
en estos momentos carece de rasgos de seguridad claves- para transmitir información del
monitor al gerente. En lugar de ello, los IDS utilizan diversos medios de autenticación y
codificado. Todas las interfases de monitoreo de los productos, con excepción de ID-Trak,
9
______________________________________________
de Internet Tools Inc. (Fremont, California) son pasivas, de forma tal de que los agresores
no estarán en condiciones de detectar nada si hay un IDS escuchando.
Los productos IDS que se probaron incluyen también rutinas predefinidas para detectar
ataques específicos, y permiten a vendedores y usuarios agregar rutinas que detectan
ataques nuevos apenas se
los descubre. De todas maneras, existen grandes diferencias en cuanto a qué tipo de
definiciones están disponibles para los usuarios.
Fases involucradas en el Hacking Ético y listado de las cinco etapas del

Hacking Ético
Un hacker ético sigue procesos similares a los de un atacante malicioso. Los pasos para
obtener y mantener acceso al sistema informático son similares más allá de las
intenciones del atacante. La figura 1.2 ilustra las cinco fases que los atacantes, en
general, siguen para acceder a un sistema. Las siguientes secciones cubren estas cinco
fases.
Fases del hacking
10
______________________________________________
Fase 1: Reconocimiento pasivo y reconocimiento activo (Reconnaissance)
El reconocimiento pasivo involucra la recolección de información con respecto a un

potencial blanco sin tener conocimientos particulares de ese blanco. El reconocimiento
pasivo puede ser tan simple como espiar un edificio para ver en qué momento entran los
empleados y cuándo salen.
Sin embargo, generalmente esto se realiza buscando en Internet o buscando a través de

los buscadores (generalmente Google) información sobre una persona o sobre alguna
compañía. Este proceso es denominado “Recolección de información” (Information
Gathering). La Ingeniería Social (Social Engineering) y el basureo (Dumpster Diving)
también son considerados métodos de recolección de información pasiva.
El Sniffing (olfatear) de red es otro de los métodos de reconocimiento pasivo y a través

del cual es posible obtener información útil como direcciones IP, nombres convencionales,
servidores o redes ocultas, y otros servicios disponibles en el sistema o en la red.
Realizar Sniffing en el tráfico de la red es similar a la construcción de la vigilancia: un

atacante mira el flujo de datos para ver a qué hora se realizan las transacciones y hacia
dónde va el tráfico de la red.
El reconocimiento activo implica el sondeo de la red para descubrir hosts, direcciones IP y

servicios que se ejecutan en la red. Generalmente esto significa un mayor riesgo de ser
detectado que en el reconocimiento pasivo y a veces es llamado “ratting the doorknobs”.
El reconocimiento activo le puede brindar a una atacante información sobre las políticas
de seguridad que se adoptan en el lugar, pero este proceso también aumenta la
posibilidad de ser descubierto o al menos despertar sospechas.
Tanto el reconocimiento activo como el reconocimiento pasivo pueden conducir al

descubrimiento de información útil que puede ser usada para realizar un ataque. Por lo
general es fácil descubrir qué tipo de servidor web se esta utilizando y la versión de los
sistemas operativos que emplea la empresa.
Esta información puede permitir encontrar una vulnerabilidad relacionada con la versión
de ese sistema operativo y explotar la vulnerabilidad para obtener acceso al sistema.
11
______________________________________________
Fase 2: Exploración (Scanning)
La fase de exploración implica la toma de la información descubierta durante la fase de

reconocimiento y utilizarla para examinar la red. Las herramientas que un atacante puede
emplear durante la fase de exploración pueden incluir port scanners, network mappers,
sweepers y vulnerability scanners. Los atacantes buscan cualquier tipo de información
que pueda ayudarles a perpetrar un ataque, como por ejemplo nombres de hosts,
direcciones IP y cuentas de usuario.
Fase 3: Ganando acceso (Gaining access)
Esta es la fase en la que el verdadero hacking tiene lugar. Las vulnerabilidades

descubiertas durante las fases de exploración y reconocimiento ahora son explotadas
para obtener acceso al sistema.
El método de conexión que el atacante utiliza para vulnerar el sistema pueden ser a
través de una red de área local (LAN, ya sea por cable o inalámbrica), acceso físico a la
PC, desde Internet o fuera de línea. Los ejemplos incluyen desbordamiento de búfer
(Buffer Overflow), denegación de servicio (DoS – Denial of Service) y secuestro de sesión
(Session hijacking). En el mundo de los atacantes, ganar acceso se conoce como
“posesión del sistema”.
Fase 4: Manteniendo el acceso (Maintaining access)
Una vez que el atacante ha conseguido acceder al sistema, busca mantener ese acceso
para futuras intrusiones y ataques. A veces, endurecen el sistema de otros atacantes o
personal de seguridad para asegurar su acceso exclusivo a través de backdoors, rootkits
y troyanos.
Cuando posee el sistema puede utilizarlo como base para ejecutar ataques adicionales.
En este caso, el sistema informático comprometido es denominado computadora zombi.
12
______________________________________________
Fase 5: Cubriendo las huellas (Covering tracks)
Una vez que el atacante ha sido capaz de ganar y mantener el acceso al sistema, cubre
las huellas para evitar ser detectado por el personal de seguridad, para poder seguir
usando el sistema comprometido, para eliminar evidencias de la violación al sistema y/o
para evitar acciones legales.
Es decir, trata de eliminar todos los rastros del ataque, como archivos de registro (log) o
alarmas del Sistema de Detección de Intrusos (IDS). Ejemplos de actividades llevadas a
cabo durante esta fase del ataque son la esteganografía (steganography), el empleo de
protocolos de tunneling y la modificación de archivos de registro (log).
Estos temas serán tratados en capítulos posteriores.
Las redes necesitan centinelas cada vez más atentos
Atender de manera eficiente la seguridad de una red se hace cada vez más difícil. A
pesar de que las herramientas se mejoran día a día, los hackers también aumentan su
nivel de conocimientos técnicos y de sofisticación. En general, las empresas y las
organizaciones son cada vez más conscientes de los riesgos y permanentemente tratan
de aumentar los niveles de protección. Pero la lucha, como dice el tango, "es cruel y es
mucha".
Vulnerar para proteger
Los hackers utilizan diversas técnicas para quebrar los sistemas de seguridad de una red.
Básicamemte buscan los puntos débiles del sistema para poder colarse en ella. El trabajo
de los testers no difiere mucho de esto. En lo que sí se diferencia, y por completo, es en
los objetivos.
Mientras que los hackers penetran en las redes para dañar o robar información, un testers
lo hace para poder mejorar los sistemas de seguridad.
13
______________________________________________
Al conjunto de técnicas que se utilizan para evaluar y probar la seguridad de una red se lo
conoce como Penetration Testing, uno de los recursos más poderosos con los que se
cuenta hoy para generar barreras cada vez más eficaces.
En cuanto a las barreras de seguridad, un testers explica: "Están totalmente relacionadas

con el tipo de información que se maneja en cada organización. Por consiguiente, según
la información que deba ser protegida, se determinan la estructura y las herramientas de
seguridad. No a la inversa".
Pero las herramientas no son sólo técnicas. El soft y el hard utilizados son una parte
importante, pero no la única. A ella se agrega lo que se denomina "políticas de seguridad
internas", que cada empresa u organización debe generar.
La explicación del porqué viene de un dato de la realidad. Según un reciente informe de la

publicación estadounidense InformationWeek, un porcentaje sustancial de intrusiones en
las redes de las empresas (ya sean chicas, medianas o grandes) proviene de ataques
internos. Es decir, los mismos empleados hackean a su propia organización. Y aquí es
donde cobran especial importancia las políticas de seguridad que se establezcan,
además del aspecto técnico.
Los malos también saben mucho
El nivel de importancia que se le da a la cuestión de la seguridad se generalizó en los

últimos años. Esto significa que las empresas son cada vez más conscientes del tema y
no escatiman esfuerzos para evitar ser vulneradas.
Esta conclusión lleva a pensar que la seguridad creció. Pero esto no es así, porque
simultáneamente aumentó y se difundieron la tecnología y los conocimientos para
hackear. Por lo tanto, el nivel de inseguridad aumentó.
"En el año 1995, con la ejecución de algunas herramientas específicas de ataque y

penetración, se hallaron 150 puntos vulnerables en diversos sistemas de red. En el último
año, las mismas herramientas fueron utilizadas sobre las nuevas versiones de los
14
______________________________________________
sistemas operativos y el resultado fue peor: se encontraron 450 puntos débiles, pese a los
avances y la mejora tecnológica de los softwares".
Esto hace que las compañías de software prestén cada vez más atención al problema. "El
Windows 2000, por ejemplo, que aún no salió al mercado, ya fue sometido a pruebas de
este tipo y se le detectaron problemas de seguridad".
La inversión
Los costos de las diferentes herramientas de protección se están haciendo accesibles, en

general, incluso para las organizaciones más pequeñas. Esto hace que la implementación
de mecanismos de seguridad se dé prácticamente en todos los niveles. Empresas
grandes, medianas, chicas y las multinacionales más grandes. Todas pueden acceder a
las herramientas que necesitan y los costos (la inversión que cada empresa debe realizar)
van de acuerdo con la empresa.
"Pero no es sólo una cuestión de costos, Los constantes cambios de la tecnología hacen
que para mantener un nivel parejo de seguridad cada empresa deba actualizar
permanentemente las herramientas con las que cuenta. Como los hackers mejoran sus
armas y metodologías de penetración de forma incesante, el recambio y la revisión
constantes en los mecanismos de seguridad se convierten en imprescindibles. Y éste es
un verdadero punto crítico".
Según testers, "esto es tan importante como el tipo de elementos que se usen". Sin duda,
éstos deben ser las que mejor se adapten al tipo de organización. Pero tan importante
como eso es el hecho de conocer exactamente cómo funcionan y qué se puede hacer
con ellos. "Es prioritario saber los riesgos que una nueva tecnología trae aparejados".
Las regulaciones
Una de las herramientas de seguridad que se utiliza en la actualidad es la encriptación,

pero esta técnica no es perfecta. En los Estados Unidos una serie de regulaciones le
ponen un techo al nivel de encriptación.
15
______________________________________________
El máximo nivel permitido hasta hace algunos meses (64 bits) perdió confiabilidad desde
que se logró vulnerarlo.
En los Estados Unidos se está buscando un algoritmo de encriptación que permita unos
diez años de tranquilidad. Es decir, que durante ese tiempo nadie logre tener los medios
tecnológicos que le posibiliten descifrarlo. Además se está tratando de integrar a las
empresas proveedoras de softwares con las compañías que los utilizan, o sea, unir a
clientes y proveedores para encontrar opciones más seguras.
La seguridad total es muy cara
Hoy es imposible hablar de un sistema ciento por ciento seguro, sencillamente porque el
costo de la seguridad total es muy alto. "Por eso las empresas, en general, asumen
riesgos: deben optar entre perder un negocio o arriesgarse a ser hackeadas. La cuestión
es que, en algunas organizaciones puntuales, tener un sistema de seguridad muy
acotado les impediría hacer más negocios", "Si un hacker quiere gastar cien mil dólares
en equipos para descifrar una encriptación, lo puede hacer porque es imposible de
controlarlo. Y en tratar de evitarlo se podrían gastar millones de dólares".
La solución a medias, entonces, sería acotar todo el espectro de seguridad, en lo que

hace a plataformas, procedimientos y estrategias. De esta manera se puede controlar
todo un conjunto de vulnerabilidades, aunque no se logre la seguridad total. Y esto
significa ni más ni menos que un gran avance con respecto a unos años atrás.
¿Qué es el hacktivismo?
El hacktivismo se refiere a la acción de” hackear” por una causa. Por lo general estos
ataques atienden a una agenda política o de índole social, y sus intenciones son utilizar
sus conocimientos sobre hacking para enviar mensajes y ganar reputación sobre la causa
que persiguen.
16
______________________________________________
Muchos de estos personajes participan de actividades como el defacing de páginas webs,

desarrollo de códigos maliciosos, DoS (denegación de servicio) y otros ataques agresivos
con el ánimo de ganar notoriedad para sus causas.
Comúnmente, el objetivo del hacktivismo son las agencias gubernamentales, grupos

políticos o cualquier otra actividad de grupos o personas que ellos consideren como
malas o equivocadas.
“Por hacktivismo (un acrónimo de hacker y activismo) se entiende normalmente la

escritura de código o la manipulación de bits para promover una ideología política,
generalmente promoviendo políticas tales como la libertad de expresión, derechos
humanos y ética de la información.”
“Los actos del hacktivismo se llevan a cabo por personas que consideran que el uso
apropiado el código puede tener efectos similares al activismo corriente o a la
desobediencia civil. Pocas personas pueden escribir código, pero afecta a más personas.”
“El término hacktivismo es controvertido. Algunos afirman que se acuñó para describir
cómo la acción directa podría usarse en favor del cambio social al combinar la
programación con el pensamiento crítico. Otros utilizan el término como sinónimo de
actos maliciosos y destructivos que vulneran la seguridad de Internet como una
plataforma tecnológica, económica y política.
Esencialmente la controversia refleja dos corrientes filosóficas divergentes dentro del

movimiento hacktivista. Una corriente considera que los ataques cibernéticos maliciosos
son una forma aceptable de acción directa. La otra corriente considera que toda protesta
debe ser pacífica y sin violencia.
Algunas personas que se auto describen como hacktivistas se han dedicado a atacar y
alterar sitios web por razones políticas, tales como ataques a sitios web del gobierno o de
grupos que se oponen a su ideología. Otros, tales como Oxblood Ruffin se oponen activa
y vocalmente al ataque y alteración de sitios web, así como a los ataques de denegación
de servicio (DoS).”
17
______________________________________________
“Dependiendo que quién utilice el término, el hacktivismo puede ser una forma
políticamente constructiva de desobediencia civil anarquista o un gesto anti-sistema
indefinido. Puede significar protesta política o anticapitalista.”
Triángulo de seguridad, funcionalidad y facilidad de uso
Como medida de seguridad profesional, es difícil lograr un justo equilibrio entre la adición
de barreras de seguridad para evitar un ataque y permitir que el sistema siga siendo
funcional para todos los usuarios.
El triángulo de seguridad, funcionalidad y facilidad de uso es una representación del

equilibrio entre la seguridad y la funcionalidad del sistema y la facilidad de uso para los
usuarios (ver figura 1.3). En general, cuando la seguridad aumenta, la funcionalidad del
sistema y la facilidad de uso para los usuarios disminuyen.
Triángulo de seguridad, funcionalidad y facilidad de uso
18
______________________________________________
En un mundo ideal, los profesionales de seguridad desearían tener el más alto nivel de
seguridad en todos los sistemas, sin embargo, a veces esto no es posible. Demasiadas
barreras de seguridad impiden la funcionalidad del sistema haciendo que sea difícil para
los usuarios utilizarlo.
Supongamos que, para poder entrar a la oficina en el trabajo, hay que pasar primero por
un guardia que controla la entrada al estacionamiento para verificar su número de
matrícula, a continuación, mostrar una tarjeta de identificación cuando se ingresa al
edificio, luego, utilizar un código de acceso para poder subir al ascensor, y por último,
utilizar una llave para abrir la puerta de la oficina.
¡Usted podría sentir que los controles de seguridad son muy estrictos! Cualquiera de
estos controles puede causar que usted se detenga y, en consecuencia, se pierda una
importante reunión - por ejemplo, si se ha olvidado la clave o la tarjeta de identificación
para acceder al edificio, subir al ascensor, o para la puerta de la oficina.
Habilidades requeridas para convertirse en un hacker ético
Para que un hacker ético pueda estar un paso por delante de los atacantes maliciosos
deben ser expertos en sistemas informáticos y estar muy familiarizados con la
programación informática, la creación de redes y sistemas operativos. Conocimiento
profundo altamente orientado a plataformas como Windows y Unix también es un
requisito.
La paciencia, la persistencia y la perseverancia son importantes cualidades que muchos

hackers poseen debido a la cantidad de tiempo y el nivel de concentración necesario que
requieren para realizar la mayoría de los ataques, comprometer los sistemas y obtener
sus frutos.
La mayoría de los hackers éticos tienen conocimiento de las áreas de seguridad o

relacionadas a ella, pero no necesariamente tienen un fuerte control sobre las
contramedidas que pueden prevenir los ataques. Los siguientes capítulos de este libro se
ocuparán tanto de las vulnerabilidades como de la lucha para prevenir ciertos tipos de
ataques.
19
______________________________________________
¿Qué es la investigación de vulnerabilidades?
La investigación de vulnerabilidad es el proceso que permite descubrir las

vulnerabilidades y debilidades de diseño que podrían conducir al ataque de un sistema.
Existen varios sitios web y herramientas que ayudar al ética hacker en el mantenimiento
de un listado actualizado de vulnerabilidades y posibles exploits para sus sistemas o
redes.
Es esencial que un administrador de sistemas se mantenga actualizado sobre los últimos

códigos maliciosos, exploits y otras amenazas comunes con el fin de proteger
adecuadamente los sistemas y la red. Además, al familiarizarse con las amenazas más
recientes, un administrador puede aprender a detectar, prevenir y recuperarse de un
ataque.
Describiendo los caminos que conducen al hacking ético
El hacking ético es llevado a cabo de una manera organizada y estructurada, por lo

general como parte de una prueba de intrusión o de una auditoria de seguridad. La
profundidad y la amplitud de los sistemas y las aplicaciones que deben someterse a
pruebas, en la mayoría de los casos están determinadas por las necesidades y las
preocupaciones del cliente. Muchos hackers éticos son miembros de un equipo de
seguridad.
Los siguientes pasos son un marco para la realización de una auditoria de seguridad en
una organización:
1. Hablar con el cliente y discutir las necesidades que se abordarán durante la

prueba.
2. Preparar y firmar con el cliente un acuerdo de no divulgación (NDA) de los

documentos.
20
______________________________________________
3. Organizar un equipo de hacking ético y preparar un calendario para la realización

de pruebas.
4. Coordinar la prueba.
5. Analizar los resultados de las pruebas y preparar un informe.
6. Presentar el informe al cliente.
Ciberdelincuencia Social
Pese a que, hasta este momento, se ha hablado de la Ciberdelincuencia como la

ejecución de delitos de carácter lucrativo para los delincuentes, existen algunas
acepciones más que pueden ser consideradas de igual modo dentro de ese concepto,
como es el ejemplo de la Ciberdelincuencia Social.
Si bien es cierto, que su presencia en las Redes Sociales se sitúa como su mayor foco, y
el crecimiento de estas ha marcado claramente su desarrollo, es necesario excluir de este
estudio a las ya mencionadas estafas de Spam, Phishing o Scam ejecutadas en dichas
redes, y cuyo objetivo no pertenece a este ámbito.
Al contrario que la Ciberdelincuencia Económica, la aplicación al delito Social que se

busca en este término no tiene como finalidad la búsqueda de ningún tipo de rentabilidad
monetaria.
Se considerará por tanto como Ciberdelincuencia Social, a aquellos delitos informáticos

cometidos contra los derechos o la integridad propia de una persona, individuo o sociedad
tanto en su carácter público como privado y cuyo único objetivo es el de obtener un
21
______________________________________________
beneficio, o satisfacer una motivación, personal por parte de los ciberdelincuentes a costa
de sus víctimas.
Pese a que en algunas legislaciones, como es el caso de la española, aún no se tipifica

acusaciones específicas para las diferentes formas de Ciberdelincuencia social, aunque sí
estas si son penadas catalogándolas en sus versiones como delitos tradicionales, el
Artículo 5 de ladeja muy clara a través de la afirmación citada textualmente: “Nadie será
sometido a torturas ni a penas o tratos crueles, inhumanos o degradantes”, la necesidad
de tener muy en consideración y perseguir este tipo de amenazas.
A continuación, se describen algunas de las formas más comunes de este tipo de

Ciberdelincuencia.
Ciber-acoso
Debido a la gravedad de sus consecuencias, por la dimensión del medio en que se

desarrollan, y las dificultades que presenta para su prevención y lucha, el Ciberacoso o
Acoso Cibernético, supone una amenaza a tener muy en cuenta en nuestra sociedad. La
telefonía móvil junto con las redes sociales y los diferentes servicios de publicación de
contenido audiovisual de la red, se presentan como el principal medio de acción de este
tipo de delincuencia.
Se puede considerar como Ciberacoso, el intento o pretensión, de manera repetida, de

causar: amenazas, daño psicológico, humillación, angustia, deterioro de la imagen, etc. a
través del uso de los diferentes medios telemáticos.
Siguiendo el concepto principal, el Ciberacoso presenta dos ligeras variaciones que sin
embargo son diferenciadas en el mundo de la Ciberdelincuencia.
Ciberbullying
Término utilizado para aludir a los casos de Ciberacoso en los que, sirviéndose de los
mismos medios que el anterior, tanto víctima como agresor son menores de edad.
22
______________________________________________
En otras palabras, se trata de los tradicionales casos de acoso entre menores, los cuales
se han trasladado, en general desde las aulas de colegios e institutos, a Internet
aprovechando la sensación de impunidad y anonimato que ofrece la red.
La carencia de conocimientos y educación acerca del uso de la red como medio de

difusión, por parte de muchos menores a la hora de publicar contenido personal, además
de la falta de consciencia en cuanto a la gravedad de las acciones realizadas por parte de
los agresores, son también en este caso factores agravante a la hora de ver como la
integridad de las víctimas se ve vulnerada.
Insultos, amenazas y coacciones junto con vejaciones, humillaciones y escarnios

públicos, ya sea en redes sociales, foros, blogs, fotologs o páginas de videos online,
suponen la mayoría de los casos reportados en este ámbito, los cuales ocasionan graves
consecuencias sociales y psicológicas para las víctimas, agravadas por su temprana edad
y percepción particular de la realidad.
Tal es el impacto que puede llegar a ocasionar la presión sufrida por algunos jóvenes en
este tipo de delitos, que ya son varios los casos de suicidio publicados en los últimos
años. Como ejemplo reciente, podemos encontrarnos con noticias como la publicada por
el diario el mundo, el pasado 19 de Agosto de este 2013, en la que se señala que
representantes de la red social Ask, donde jóvenes de todo el mundo se relacionan de
forma digital, se han comprometido a reforzar su política de seguridad de cara a combatir
los casos de Ciberacoso detectados en su página, entre los que se encuentra el caso de
la menor de 14 años, Hannah Smith, la cual se quitó la vida tras sufrir un caso de
Ciberbullying a través de su perfil.
La peculiaridad de esta web reside en la posibilidad de realizar preguntas a otros usuarios

de forma anónima, lo cual que ha dado lugar a casos de acoso entre menores. Las
medidas anunciadas serán entre otras la de facilitar el acceso a la opción “denunciar
usuario” y añadir requisitos adicionales, tales como una cuenta de correo electrónico, al
formulario de registro que permitan poder localizar físicamente, mediante su dirección IP,
a un posible acosador.
Otro caso de gran repercusión mediática fue el de la joven canadiense Amanda Todd, la
cual fue hallada muerta en su casa en octubre de 2012, tan solo un mes después de
23
______________________________________________
haber publicado un video en la web de videos online Youtube, en el que denunciaba estar
sufriendo un agotador caso de Ciberbullying a raíz de un caso de sexcasting (término
utilizado para aludir al intercambio de imágenes de contenido sexual por internet), en el
que se mostraba parcialmente desnuda con 12 años.
Cyberstalking
Con origen en el término en inglés, stalking, en español acecho, se basa en las acciones
desempeñadas por algunos individuos, generalmente con algún tipo de trastorno o
motivación obsesiva, mediante el uso de las tecnologías de comunicación, para acechar o
acosar a una persona, grupo de personas u organización.
Esta obsesión les lleva a espiar y perseguir la actividad en Internet de su víctima, enviar
sms o publicar declaraciones en medios públicos así como a realizar falsas acusaciones o
amenazas (además de otras acciones similares) contra sus objetivos, los cuales en
multitud de ocasiones permanecen ajenos a este seguimiento durante mucho tiempo.
Cybergrooming
Conocido también simplemente como Grooming, o Child Grooming, la utilización de este

término se emplea para referirse al tipo de técnicas empleadas en los casos de acoso
sexual hacia un menor a través de Internet. El principal comportamiento de los individuos
que lo practican se basa en el establecimiento de una relación y control emocional sobre
un menor para, posteriormente, mantener una relación sexual de manera virtual.
En los casos de Gybergrooming, los delincuentes suelen presentarse ante sus víctimas a
través de servicios de chat, redes sociales o incluso sitios web de juegos online para
niños, donde estos dejan sus datos de contacto para compartir experiencias con sus
iguales, presentando falsas identidades que les permitan establecer un primer contacto y
una relación de amistad.
Posteriormente, los acosadores comienzan conducir las conversaciones con su víctima de

modo que estas le permitan obtener determinada información sensible de carácter
24
______________________________________________
personal, como datos de sus contactos y familiares, y en algunas ocasiones también de

una índole más íntima, la cual llegado el momento les permita chantajear y coaccionar al
menor forzándoles a continuar con la relación en contra de su voluntad.
Una vez llegados a este punto, es cuando se desvelan los verdaderos deseos delictivos y
el acosador comienza a requerir del menor el intercambio de imágenes vía, webcam,
fotos de contenido sexual, incluso en ocasiones citas presenciales con intención de llevar
a la realidad las relaciones establecidas por la red.
Ciberterrorismo y Hacktivismo
Tal es daño, que los ciberdelincuentes pueden llegar a ocasionar a los gobiernos y a sus
infraestructuras, que estos no han dudado en asignarles la denominación de
Ciberterroristas, englobando en este término a todos aquellos que, ya sea por unas u
otras motivaciones, atenten contra la integridad, la imagen o el bienestar de un estado o
de sus habitantes, es decir, desde el terrorista y organizaciones terroristas tradicionales
cuyo principal argumento es la religión y que han pasado utilizar la red como una de sus
armas, hasta los nuevos grupos o bandas organizadas de Ciberdelincuentes cuyo fin es
la protesta política o ideológica, donde sus miembros son conocidos como Hacktivistas.
El Hacktivismo (término formado a partir de la unión de las palabras Hacker y activismo),

consiste precisamente, en la gran mayoría de los casos, en la defensa de una serie de
ideologías políticas, comúnmente a favor de la libertad de expresión, de información y de
una interpretación particular de los derechos sociales, cuyas protestas por parte de sus
miembros se realizan a través del amplio abanico de posibilidades que ofrece internet,
empleando comúnmente métodos no aprobados por el colectivo Hacker purista, por su
carácter destructivo, como son los ataques de Denegación de Servicio o el Defacement
de sitios web.
A diferencia del Hacktivismo, los actos de Ciberterrorismo no suelen contar con miembros
cuya participación activa se realiza de manera consciente, sino que, en este caso los
“soldados” que se sitúan en el frente del ataque son usuarios infectados, y adheridos
como miembros de grandes botnets, que permanecen totalmente ajenos a su
25
______________________________________________
participación mientras sus equipos son controlados de manera remota por los verdaderos
ejecutores.
Algunas de las primeras apariciones del Hacktivismo se publicaron a principios de los

años 1990, con casos como el ataque, por medio de la propagación del gusano WANK28
(siglas en inglés de War Against Nuclear Killers, en español, guerra contra asesinos
nucleares), contra las redes de del Departamento de Energía Norteamericano (DOE), la
Red Física de Alta Energia (HEPNET) y el programa de la NASA, SPAN, en motivo de
protesta contra su programa nuclear y el uso de plutonio como combustible para el envío
de vehículos espaciales y que infectó todos sus sistemas informáticos publicando en ellos
una pancarta que indicaba el mensaje “Sus sistemas han sido oficialmente WANKeados.
Habláis de tiempos de paz para todos, y mientras os preparáis para la guerra”.
Creación de un plan de evaluación de la seguridad
Muchos hackers éticos actuando en el rol de profesionales de seguridad usan sus

habilidades para llevar a cabo evaluaciones de seguridad o pruebas de penetración.
Estas pruebas y evaluaciones tienen tres fases, en general, ordenadas de la siguiente
manera:
26
______________________________________________
La fase de preparación consiste en un acuerdo formal entre la ética del hacker y la

organización. Este acuerdo debería incluir todo el ámbito de la prueba, los tipos de
ataques (insider y outsider) que se realizarán y las pruebas de los tipos white, black o
grey box.
Durante la fase de realización de la evaluación de seguridad, las pruebas se realizan

después de que el que llevará a cabo la prueba prepare un reporte formal sobre las
vulnerabilidades encontradas y otras conclusiones. Los resultados se presentan a la
organización en la fase de conclusión, junto con todas las recomendaciones para mejorar
la seguridad.
Reporte de hacking ético
El resultado de una prueba de penetración de la red o de una auditoria de seguridad es

un informe de hacking ético. En este informe se detallan los resultados de las actividades
del hacking, los tipos de pruebas realizadas y los métodos de hacking utilizados.
Estos resultados son comparados contra los trabajos previstos en la fase de evaluación
de la seguridad. Cualquier vulnerabilidad identificada es detallada junto a las
27
______________________________________________
contramedidas que se sugieren. Este documento suele ser entregado a la empresa en

formato de copias impresas por razones de seguridad.
Los detalles del informe de hacking ético deben ser mantenidos en total confidencialidad
ya que contiene información sobre los riesgos de seguridad y las vulnerabilidades de la
empresa. Si este documento cae en malas manos, los resultados podrían ser desastrosos
para la organización.
Implicancias legales del hacking
Un hacker ético debe conocer las penas que sufre el hacking no autorizado en un
sistema. Las actividades relacionadas con el hacking ético de una red, una prueba de
penetración o de una auditoria de seguridad deben comenzar a realizarse mediante un
documento legal firmado que le da permiso expreso al hacker ético para llevar a cabo las
actividades de hacking en la organización que es objeto de prueba. Los hackers éticos
necesitan ser prudente con sus habilidades de hacking y reconocer las consecuencias
que implica el mal uso de esos conocimientos.
En términos generales, los delitos informáticos pueden clasificarse en dos categorías:

delitos cometidos por computadoras y delitos donde la computadora es el objetivo.
Las dos leyes más importantes de EE.UU. en relación a los delitos informáticos se
describen en la siguiente sección. Aunque el examen CEH es de alcance internacional,
asegúrese de familiarizarse con estos dos estatutos estadounidenses y las penas por el
hacking. Recuerde, la intención no es crear un hacker por encima de las leyes, de hecho
un hacker ético puede ser procesado por violar estas leyes.
El Cyber Security Enhancement Act of 2002 condena a cadena perpetua a los hackers
que "temerariamente" ponen en peligro la vida de los demás. Usuarios malintencionados
que crean una situación de peligro a la vida atacando las redes informáticas de los
sistemas de transporte, empresas de energía o de otros servicios públicos o de empresas
de servicios públicos pueden ser procesados en virtud de la presente ley.
28
______________________________________________
Anonymous
Sin ningún tipo de organización jerárquica conocida, y funcionando más bien como una
red de activistas, agrupados en colectivos temporales, donde cualquiera puede formar
parte del conjunto, con un mayor o menor compromiso, el movimiento Anonymous supone
sin lugar a dudas el grupo más importante y numeroso del panorama del Hacktivismo
actual.
El término “Anonymous” (anónimos en español), tiene su origen en el modo de

identificación utilizado por algunas páginas web, donde era posible publicar comentarios
sin identificarse. Estos comentarios de usuarios no registrados, se etiquetaban como
“Anónimo”, y fue de esta calificación de donde empezó a surgir la idea de un colectivo de
al cual se tachaba de no identificarse en sus publicaciones.
Surgido como un movimiento por diversión en el año 2003, el grupo comienza a

manifestarse en acciones y protestas a favor de la libertad de expresión, la independencia
en Internet y en contra de diferentes organizaciones, organismos públicos y sociedades
de derechos de autor. Sin embargo, es a partir del año 2008 cuando su fama comienza a
crecer y en 2010, con su apoyo a la organización WikiLeaks cuando, la imagen del grupo
salta a todos
los medios internaciones tras diversos ataques de Denegación de Servicio (DoS)

realizados contra los sistemas de la CIA y otras compañías que se mostraron en contra
de la organización.
Considerados por algunos como Ciberterroristas, y por otros como una organización
revolucionaria compleja, cuyo centro de operaciones se plantea difícil de identificar, la
filosofía del grupo dicta que básicamente se trata de gente disconforme con diferentes
situaciones de la sociedad actual, la cual esconde su identidad tras la máscara del
anonimato para sumarse a causas de reivindicación comunes, convocadas a través de la
red.
Utilizando una simbología cuyos iconos han ganado una gran popularidad en nuestros
días debido a su gran poder de difusión, el grupo no sólo muestra su presencia en
internet si no que ya desde el 2011 se muestra en convocatorias y manifestaciones donde
29
______________________________________________
sus participantes adoptan la imagen del grupo en la red, correctamente vestidos con traje
y corbata, y ocultos tras una máscara, que oculta su identidad real pero que sin embargo
les identifica como miembros del movimiento, cuya figura representa al personaje Guy
Fawkes, la cual ya fue utilizada por el protagonista en la versión cinematográfica de la
novela V de Vendetta.
El peligro del fenómeno BYOD
Bring your own device, (BYOD) es el nuevo fenómeno en auge en las empresas. Este
fenómeno reside en la permisividad que conceden las compañías hoy en día para que
sus empleados puedan conectarse desde sus propios dispositivos, tales como terminales
móviles, PCs portátiles, tablet, IPad, o cualquier otro gadget que disponga de
conectividad WiFi, a Internet. Esta permisividad no va únicamente encaminada a que sus
trabajadores puedan conectarse a sus redes sociales en sus momentos de ocio, sino que
también tiene como objetivo que aquellos que así lo requieran puedan trabajar y
conectarse a los recursos internos de su empresa (correo electrónico, servidores de
ficheros, bases de datos, etc.) de manera cómoda y sencilla.
Según el estudio presentado por la prestigiosa compañía de software antimalware Trend

Micro, cerca del 78% de las empresas permiten que sus empleados puedan utilizar sus
propios dispositivos para realizar labores corporativas. Del mismo modo, el 50% de un
total de 850 empresas de EEUU, UK y Alemania encuestadas, admitió en algún momento
haber sufrido brechas de seguridad y problemas de datos, originados en su totalidad a
través de un dispositivo personal de alguno de sus empleados. Curiosamente según
dicho estudio el 75% de los CEO de las compañías utilizaban de manera habitual
smartphone y otros dispositivos para conectarse a su red corporativa.
Si bien está política tiene unas indudables ventajas, de cara a una estrategia de empresa
moderna y cercana al empleado, las consecuencias de una falta de previsión a la hora de
administrar la conectividad de los dispositivos, en cuanto a segmentación de la red,
sistemas de autenticación implementados, así como una correcta formación e información
sobre el correcto uso de sus dispositivos, puede ocasionar y ocasiona en numerosas
30
______________________________________________
circunstancias la entrada de malware, virus y accesos no controlados a los sistemas de

información de la compañía, cuyas consecuencias pueden ser desastrosas.
Los gobiernos
Si entre 1945 y 1991 la llamada Guerra Fría marcó un antes y un después en la forma en
que los gobiernos resolvían sus diferencias, la evolución natural hoy en día de este
método sería la guerra en el ciberespacio.
Los casos de Ciberespionaje entre países son noticia cada poco tiempo y las amenazas
de terrorismo físico ahora comparten su lugar con casos de Ciberterrorismo ya sea
proveniente de otros países o de bandas organizadas. Este nuevo uso de internet por
parte de los terroristas, no sólo para perpetrar ataques, sino para captar adeptos y
propagar sus ideales supone una grave amenaza para la seguridad tanto nacional como
internacional.
Centrales energéticas, redes de suministro eléctrico y cualquier otra infraestructura

gubernamental relacionada con las tecnologías de la información, suponen puntos
vulnerables para los gobiernos y sus ciudadanos.
Al igual que en una guerra es difícil definir quiénes son las víctimas y quiénes están del
lado transgresor, en este punto los gobiernos ocupan también las dos caras de la
moneda.
Como mención especial, es interesante destacar los casos de Ciberespionaje atribuidos al

gobierno chino, el cual es sospechoso de gran parte de los ataques que han tenido lugar
en los últimos tiempos a grandes empresas, así como en instituciones públicas de todo el
mundo.
En Febrero de este año, la compañía americana Mandiant publicó un informe titulado

“China’s Cyber Espionage Units” 10 en el cual se detallaban diferentes informaciones
utilizando más de 3.000 evidencias con el objetivo de demostrar que el ejército chino
llevaba realizando estas acciones desde el año 2006 y robando información al menos a
141 compañías en todo el planeta, en su mayor parte a empresas estadounidenses. Esta
31
______________________________________________
ha sido la primera vez, en la historia de la investigación contra la Ciberdelincuencia, en la

que se han presentado pruebas suficientes para acusar directamente a un gobierno de
infiltrarse y robar información a empresas de todos los sectores a nivel mundial.
Poco después de la publicación de dicho informe se atribuyeron casos de Ciberespionaje,

también con origen en el país oriental, contra la EADS (European Aeronautic Defence and
Space Company), empresa fabricante del avión Eurofighter y dueña de Airbus y también
contra la compañía alemana ThyssenKrupp.
Por otro lado, tal y como ocurre en el ámbito empresarial y en el de los internautas, en el
mundo de la ciberdelincuencia prácticamente nadie puede asumir únicamente el papel de
víctima. Si en el párrafo anterior señalábamos a EEUU como una de las principales
víctimas del espionaje chino, el pasado mes de Julio de este año las grandes compañías
de Internet, entre ellas Apple, Google, Facebook, Microsoft y Twitter emitieron un escrito
dirigido al gobierno estadounidense para solicitar de manera formal autorización para
32
______________________________________________
informar a la ciudadanía sobre los datos que suministran a la Agencia Nacional de

Seguridad americana NSA estas empresas.
En esta carta, 63 empresas entre las que se encontraban compañías de Internet,

Inversionistas y ONG solicitaban permiso para hacer públicas las peticiones recibidas
sobre la información de sus usuarios tales como cantidad de individuos, cuentas o
dispositivos desde los cuales provienen dichos datos además de otros datos personales.
La petición fue firmada también por compañías como AOL, Dropbox, Yahoo, Mozilla,
LinkedIn, Meetup, Reddit, Tumblr y varias organizaciones de derechos civiles, como la
fundación The Electronic Frontier
Ya sean empresas o gobiernos, ambos tienen mucho que perder ante los posibles
ataques y desastres ocasionados por los ciberdelincuentes, y es por este motivo que son
quienes mayores desembolsos económicos realizan a la hora de invertir en la seguridad
de sus infraestructuras.
Sin embargo, y por contradictorio que parezca, según apunta el informe realizado por
McAfee, al contrario que en el caso de las empresas privadas donde la inversión realizada
en seguridad va limitada por la capacidad económica de la compañía, los gobiernos
siguen relegando la seguridad a un segundo plano, por detrás de la crisis económica
mundial y de las amenazas de terrorismo tradicional. A pesar de un aumento evidente del
riesgo para la seguridad nacional, la ignorancia técnica por parte de las últimas cabezas
decisorias y la falta de previsión de riesgos generalizados y a largo plazo, provocan que
no se dedique a este campo ni el tiempo ni los recursos tanto económicos como
legislativos que serían necesarios.
Prevención Ataque Fuerza Bruta en Servidor Web
Analizando el fallo en el código para la validación de la password y username, hemos

investigado que a partir de la versión 4 y 5 de PHP podemos implementar una función al
código que realiza un retraso del programa durante un determinado tiempo. La función
33
______________________________________________
retorna cero en caso de que se haya realizado correctamente la validación, o falso en

caso de un fallo.
Código PHP vulnerable a Ataque Fuerza Bruta
Para implementar esta seguridad se introduce esta función sleep antes del retorno del
mensaje de error:
} else {
// Espera de 30 segundos para retorno de un intento con fallo
sleep(3);
echo “<pre><br>Username and or password incorrect.</pre>”;
mysql_close();
}Haciendo uso de la función y viendo que puede ayudar en la prevención de estos tipos de
?>
ataques, podemos dar un nivel de seguridad aún mayor en la aplicación. Para eso
combinamos la función sleep conjunto con un sistema de Captcha*, muy utilizado
actualmente en las aplicaciones Web.
34
______________________________________________
El sistema Captcha( Completely Automated Public Turing test to tell Computers and
Human Apart (Figura 23
), es un metodo que hace uso de un sistema de prueba para controlar si quien está
intentando validar una entrada es un humano o una aplicación determinada, aplicación
automática. Consiste en que un usuario deberá introducir los valores que aparecen en
una determinada imagen en la pantalla. Con eso se intenta evitar el uso de robots que
son las aplicación que trabajan de forma automática para realizar inúmeras tareas que
son las validaciones y envíos de informaciones en general.
SQL Injection en Servidor Web
Esta técnica consiste en introducir un código SQL* malicioso dentro del código
programado de la página Web con la finalidad de alterar su funcionamiento.
Esa introducción del código SQL malicioso se hace al ejecutar un conjunto de parámetros
que podrá realizar una consulta directamente a la base de datos de la página Web y
retornar un valor para esa consulta que podría ser por ejemplo una password, un
usermane etc. Se trata de poder extraer el máximo de información posible de la base de
datos de la víctima, para eso siempre aprovechando el descuido o mala programación del
código fuente de la aplicación.
Comprobamos que en el Portal DVWA tenemos creado algunos usuarios en la base de

datos dvwa, lo que haremos será extraer estos usuarios aprovechando el fallo de
seguridad que hay en la página Web.
35
______________________________________________
Información de la tabla users de la bd dvwa
En el portal DVWA podemos observar parte del código que corresponde a la

autentificación de usuario en una página Web. Para ello realiza una consulta en la tabla
de usuarios del servidor Web. Para esta prueba hemos trabajado con un nivel de
seguridad bajo. En la figura25 observamos que el código no dispone de ningún tipo de
filtrado, con lo cual podremos realizar un ataque y obtener información de la base de
datos. Una persona intenta acceder a través del formulario de la página Web con su
usuario. Si estos datos no son correctos puede retornar información referente a la tabla de
usuario.
Codigo PHP Sql Inyection
La vulnerabilidad en este código es que en el Get Id no tenemos ningún control de filtrado,

con lo cual una persona introduciendo algún código en el mismo campo del User ID*
puede obtener informaciones de la tabla de usuarios.
Auditoria aplicación web
Se utiliza como prueba la herramienta Websecurity que tenemos en Backtrack para

comprobar los fallos de seguridad que existe en el servidor Web que hemos encontrado.
36
______________________________________________
Acedemos a la aplicación Websecurity en el menú: BackTrack/Exploitation Tools/Web

Exploitation Tools/Websecurity
Creamos un workspace para la página de navarro. Para eso iremos en file/create

wokspaces.
Después de haber creado el workspace
Pentesting Página IP de la tarjeta de

Navarro.cl router
Comprobamos con el informe que hay un fallo de seguridad, donde es posible ver la
versión de la aplicación que está siendo utilizada. Esta información no es necesaria que
esté disponible porque puede facilitar un posible ataque.
37
Figura 39 Informe de fallos de la página web navarro

______________________________________________
Realizamos una prueba en la página Web de nuestra universidad www.uoc.edu y hemos
visto los siguientes fallos de seguridad:
Figura 41 Resultado pruebas página web uoc.edu

Flag* HTTPOnly
Figura 40 Árbol de diagnóstico aplicación
Websecurity
Las mayores amenazas en las aplicaciones Web es el XSS o Cross Site Scripting y sus
principales funciones son la modificación o lectura de los cookies que son generados por
las aplicaciones en el navegador Web. Cuando utilizamos el flag HTTpOnly ayuda a
solucionar el problema dado el caso que un cliente ejecute algún script y de este modo
pueda acceder a alguna cookie protegida. Esa opción puede venir ya incorporada en
varias versiones de algunos navegadores Web pero también puede ocurrir que un
determinado navegador tenga esa opción desactivada.
El uso del flag HTTpOnly es recomendada según el proyecto de owasp
session.cookie_httponly = True
En PHP podemos activarla con la sesión en el fichero php.ini:
Autocomplete Enable (Autocompletar activado)
La función autocompletar siempre debe estar desactivada, especialmente si son en

formularios que contienen información como nombre de usuario, contraseñas etc. En caso
contrario un hacker que accede a la memoria caché del navegador, podría obtener
fácilmente toda esa información.
38
______________________________________________
Auditoria de la seguridad en sistema operativo
Se realiza una prueba en un sistema Linux, para eso hemos elegido una aplicación de
software libre lynus.
Si no tenemos disponible la aplicación deberemos instalarla con el comando:
apt-get install lynus , una vez instalada correctamente ya se puede realizar la auditoria en
el sistema operativo Linux.
Desde consola ejecutamos: /usr/sbin/lynis –auditor Cristiano –reverse-colors –profile

auditoria_linux
auditor Cristia Indica el nombre del profesional que ira realizar la auditoria.
no
Reverse- Para optimizar la información con colores

colors
profile Para almacenar la auditoria en un fichero que hemos creado

inicialmente.
Hemos creado una cuenta de usuario con una password débil en el servidor Linux.
Podemos observar que en la auditoria del sistema detecta ese fallo de seguridad.
39
______________________________________________
Este sistema de auditoria es muy útil para chequear servidores Linux y poder comprobar
fallos y con eso poder mitigarlos.
Después de realizar la auditoria se genera un informe con las sugerencias que se deben
tomar para mejorar el sistema de seguridad del servidor. Ese informe se puede ver en el
directorio /var/log/lynis.log
Analizando los resultados del fichero log* podemos ver algunas alertas como por ejemplo
la sugerencia de cambio en algún fichero de configuración.
Mecanismo para detención DoS
Uno de los ataques frecuentes en la red son los llamados DoS (Denial of Service),
denegación de servicio. Como el propio nombre indica se trata de bloquear un
determinado servicio de la red o computador, ese bloqueo se puede realizar de muchas
maneras, pero todos los ataques hacen uso del protocolo de red tcp* para realizarlo.
Realizaremos un ataque de Inundación SYN (SYN Flood), este tipo de ataque consiste en
enviar una cantidad de paquetes TCP/SYN (que corresponde a varias peticiones con el
40
______________________________________________
Flag SYN en la cabecera del protocolo TCP). Una alternativa para detectar ese tipo de
problemas sería instalar un servidor IDS* trabajando en conjunto con un servidor Firewall,
por un lado el servidor IDS filtrará todos los posibles ataques y después el firewall
procederá a bloquearlos.
Para este escenario si instala una DMZ* (Zona Desmilitarizada, redes creadas que están
en entre una red interna y una externa), donde se dejará el servidor IDS en esta zona, se
instalará entre el ISP* (Internet Service Provider) y el firewall. Lo que queremos obtener
con esta nueva configuración es que la herramienta SNORT (IDS) filtre todo el tráfico que
entre y salga, sea entre la LAN o bien la DMZ.
La principal ventaja es que estaríamos capturando todos los ataques que van a los
servidores públicos o bien también de la LAN.
La principal desventaja es que de esta manera no podríamos controlar todo el tráfico de la

LAN. Otro problema que tenemos ahora es que como el IDS está en un ámbito más
amplio, tendrá un volumen muy alto de alarmas con lo cual requiere una política de
seguridad (policy) muy clara y precisa a nivel de las prioridades y niveles de alarma. Hay
que tener cuidado porque podríamos estar hablando de generar un tráfico muy alto y con
eso un cuello de botella.
Aún con estas desventajas lo más aconsejable es utilizar una DMZ cuando se habla de
seguridad en entre una red interna y externa.
41
______________________________________________
Desde un equipo externo hacemos un ping al ServidorPrincipal. Servidor IDS (Snort)
Se configura una regla básica para detectar intentos de ping.
Ruta de instalación de la herramienta Snort y repositorio con las reglas: /etc/snort/rules
Creamos un fichero con la regla con el nombre de reglas_practica1.rule
Información sobre los parámetros que hemos utilizado en la regla en el servidor IDS:
# alert -- Activar mensaje de alarma. Indica que saldrá un mensaje de alarma, Snort se puede trabajar con varios tipos
de mensajes como alarm también.
# icmp* -- estamos indicando el tipo de protocolo que ira filtrar, en este caso se trata del protocolo para intentos de
envíos de mensaje echo request (ping)
# any any -> any any – Del lado izquierdo indica el origen y el lado derecho el destino , es decir el primer any sería la
dirección ip y el segundo any el puerto , como esta puesto con la palabra “any” indica que puede ser cualquier dirección
de origen y cualquier puerto y el destino igual. Es importante indicar any en ese caso porque no sabemos la dirección
por la que puede venir y por el puerto de entrada y salida. El “->” indica el direccionamiento, puede ser unidireccional o
bien bidireccional “<->”.
# itype: 8 -- El tipo de mensaje del protocolo, el 8 indica que es un echo

request. # msg – El mensaje que aparecerá en el log
# sid – Número interno de identificación para la regla.
Ponemos en marcha el servidor IDS con la regla:
Desde un equipo externo con Windows 7 realizamos un ping hacia el

Servidor_Principal, se puede observar en la figura52 que aparece el mensaje de alarma
42
______________________________________________
en el servidor IDS.
A parte del mensaje que se puede observar en consola, también creará log’s en el
directorio /var/log/snort donde quedaran almacenados los paquetes enviados, estos
paquetes se puede analizar después con alguna herramienta del tipo sniffer.
A continuación, se realiza un ataque del tipo “IP Flooding”, este tipo de ataque consiste
en realizar un envío masivo de mensajes en la red, logrando de esta manera saturarla y
dejar algún servicio indisponible. En este caso quedará indisponible el servidor Web.
ping la ip de la victima –t –n 9999
Utilizamos la herramienta wireshark para analizar el tráfico que se envía por la red y
comprobamos que se envía una cantidad muy elevada de paquetes del tipo ICMP.
En el servidor backtrack iremos al menú Backtrack/Information Gathering/Network

Analysis/Network Traffic Analysis/Wireshark.
43
______________________________________________
Definimos la interface de capture: eth0 (Corresponde al interface donde está conectado el

router).
El log del IDS snort viene indicando información del equipo que está realizando el ataque
10.40.1.5 y la ip de la víctima 192.168.1.21, en este caso estaba realizando un ataque
directo al servidor ISP que hacía de router.
Figura 54 Wireshark captura tramas ICMP
Otra regla importante para evitar el ataque syn flood seria:
alert tcp any any -> any any (flags: S; threshold: type threshold, track by_dst, count 2,
seconds 1; msg: ">2 conexiones";)
En este caso si queremos aumentar el ratio de peticiones por segundo tenemos que
cambiar el valor de count.
44
______________________________________________
Snort es un IDS muy potente con lo cual podemos utilizarlo para realizar un trabajo muy
completo de cara en la detección de ataques. Esta herramienta viene con un conjunto de
reglas ya creadas donde podemos aprovecharlas para cada situación. Estas reglas están
en el directorio /etc/snort/rules. Para activarlas debemos también configurar en el fichero
snort.conf
Se creamos una regla nueva podemos añadirlas en el fichero en la sesión rules set
# Include $RULE PATH/practica1_rules
Una manera de mejorar la seguridad sería en la configuración del servidor firewall

IPTABLES definir una configuración para bloquear ese tipo de ataque. En el servidor que
habíamos instalado previamente en laboratorio, añadimos estas nuevas reglas para
probar. Ver figura 59.
45
______________________________________________
Conceptos que tenemos que tener en claro
Entender la terminología esencial del hacking
Deben asegurarse de estar familiarizados con los términos, pudiendo definir sin
problemas los conceptos de amenaza, exploit, vulnerabilidad, blanco de evaluación y
ataque.
Entender la diferencia entre hacker ético y cracker
Los hackers éticos son profesionales de seguridad que actúan defensivamente. Los
crackers son usuarios malintencionados que optan por causar daños sobre un sistema
víctima.
Conocer las clases de hackers
Es de vital importancia conocer las diferencias entre hackers del tipo Black Hat, White
Hat y Grey Hat. Básicamente saber quiénes son los chicos buenos y quiénes son los
chicos malos en el mundo del hacking.
Conocer las fases del hacking
El reconocimiento pasivo y el reconocimiento activo, la exploración, ganar el acceso,

mantener el acceso y cubrir las huellas (reconnaissance, scanning, gaining access,
maintaining access y covering tracks respectivamente) son las cinco fases del hacking.
Conocer el orden de las etapas y lo que ocurre en cada una de ellas.
Ser consciente de los tipos de ataques
Entender las diferencias entre ataques activos y ataques pasivos, y ataques Insider y
Outsider. La capacidad de ser detectado es la diferencia entre el ataque pasivo y el
activo. La ubicación del atacante es la diferencia entre ataque Insider y ataque Outsider.
46
______________________________________________
Conocer los tipos de hacking ético
Los hackers pueden atacar la red desde una red remota, desde una red dial-up remota,
desde una red local, por medio de Ingeniería Social, robando algún equipo o accediendo
físicamente.
Entender los tipos de pruebas de seguridad
Los hackers éticos pueden poner a prueba una red a través de técnicas de prueba como
Black Box, White Box o Grey Box.
Conocer el contenido de un reporte de hacking ético
Un reporte de hacking ético contiene información sobre las actividades de hacking que se
realizan sobre la red o sobre el sistema, las vulnerabilidades descubiertas y las
contramedidas que deberían aplicarse para corregir los puntos vulnerables.
Conocer las implicaciones jurídicas involucradas en el hacking
La Cyber Security Enhancement Act of 2002 puede ser utilizada para perseguir a los
hackers éticos que imprudentemente ponen en peligro la vida de los demás.
47

Modulo 2 CiberSeguridad

Cargado por

Información del documento

Derechos de autor

Formatos disponibles

Compartir este documento

Compartir o incrustar documentos

Opciones para compartir

¿Le pareció útil este documento?

¿Este contenido es inapropiado?

Copyright:

Formatos disponibles

Modulo 2 CiberSeguridad

Cargado por

Copyright:

Formatos disponibles

Instituto Superior ISE en Argentina ---– www.isecursos.com.

Definiciones de Adware y Spyware

Diferencias entre adware, spyware y virus

Mientras el virus es un pequeño programa, o una línea de código adosadas a otro

Software libre y Software gratuito

La inclusión de Adware en los programas esta siempre documentada, y, si el usuario lee

Para terminar de entender el problema de adware y el Spyware, es importante pensar una

Adware y spyware en funcionamiento

¿Cómo entran en nuestras PCs?

1. Al visitar sitios de Internet que nos descargan su código malicioso (ActiveX,

2. Acompañando algún virus o llamado por un Troyano. Estando ocultos en un

3. La idea central de Spyware es ayudar a focalizar promociones de ventas, al

5. Por otra parte, algunos adware y Spyware insisten cambiar continuamente

¿Qué información nos pueden sacar?

Pueden tener acceso, por ejemplo: a Tu correo electrónico y el password, dirección IP y

¿Cuáles son los síntomas de tener un Adware?

Los 5 principales síntomas de infección son:

3. Barras de búsquedas de sitios como la de Toolbar888, Hotbar, MyWebSearch

5. La navegación por la red se hace cada vez más lenta.

Formas de protección con el adware

• Para poder proteger el ordenador contra los adwares, en la mayoría de los

• Ejecute las actualizaciones de antispyware y antiadware, así como analizar

• Activar las opciones de inmunización en el software antispyware y

• Asegurarse que el software del sistema operativo, navegador y correo

• Tener activado el cortafuego (firewall) cuando se usa Internet.

• Utilizar la protección preventiva contra los sitios Web peligrosos.

Adware y Spyware en América

Recomendaciones para evitar Adware y Spyware

2. Si es posible, lea atentamente las políticas de privacidad de estas

3. Estas aplicaciones normalmente prometen ser barras con

4. Actualmente, se nota una importante aparición de aplicaciones que

6. Es común que los sitios dedicados al underground o pornográficos,

tareas. Ya que esto disminuye el campo de acción de un posible intruso

8. Estas aplicaciones evolucionan continuamente por lo que contar con un

En la Argentina existe un grupo de laboratorios y consultoras dedicado a buscar

Además de proveer software, Zampatti, Maida & Asociados ofrece servicios de

Todas tienen el mismo objetivo: investigar las tecnologías de seguridad informática y

Hoy, en muchas corporaciones, un hambre de información perpetuo e insaciable ha

Características de los IDS

Fases involucradas en el Hacking Ético y listado de las cinco etapas del

Fases del hacking

Fase 1: Reconocimiento pasivo y reconocimiento activo (Reconnaissance)

El reconocimiento pasivo involucra la recolección de información con respecto a un

Sin embargo, generalmente esto se realiza buscando en Internet o buscando a través de

El Sniffing (olfatear) de red es otro de los métodos de reconocimiento pasivo y a través

Realizar Sniffing en el tráfico de la red es similar a la construcción de la vigilancia: un

El reconocimiento activo implica el sondeo de la red para descubrir hosts, direcciones IP y

Tanto el reconocimiento activo como el reconocimiento pasivo pueden conducir al

Fase 2: Exploración (Scanning)

La fase de exploración implica la toma de la información descubierta durante la fase de

Fase 3: Ganando acceso (Gaining access)

Esta es la fase en la que el verdadero hacking tiene lugar. Las vulnerabilidades

Fase 4: Manteniendo el acceso (Maintaining access)

Fase 5: Cubriendo las huellas (Covering tracks)

Estos temas serán tratados en capítulos posteriores.

Las redes necesitan centinelas cada vez más atentos

Vulnerar para proteger

En cuanto a las barreras de seguridad, un testers explica: "Están totalmente relacionadas

La explicación del porqué viene de un dato de la realidad. Según un reciente informe de la

Los malos también saben mucho

El nivel de importancia que se le da a la cuestión de la seguridad se generalizó en los

"En el año 1995, con la ejecución de algunas herramientas específicas de ataque y

Los costos de las diferentes herramientas de protección se están haciendo accesibles, en

Una de las herramientas de seguridad que se utiliza en la actualidad es la encriptación,