CURSO CIBERSEGURIDAD

Recopilación pasiva de información

Obtener datos del objetivo interactuando lo mínimo posible
Proporciona resultados poco concluyentes
Recolecta información de información almacenada en lugares
públicos
Hacking con buscadores
Comandos:
Site  Para restringir los resultados solo a aquellos que
pertenezcan al dominio
Filetype  Reduce aún mas los resultados, condicionando a un
tipo de archivo
“ ”  para mostrar cadenas de textos que contengan
específicamente lo que aparece entre comillas
GOOGLE DORKS (comandos para la la búsqueda de
vulnerabilidades en Google)
Cuando se hace el análisis de seguridad de una organización
primero se hacen dorks de Google, para saber qué información
podría estar expuesta
Es importante tener en cuenta que la información puede ser falsa,
incompleta o desactualizada
Google Hacking: Comandos y
Operadores Booleanos
Comandos principales Google Hacking

A continuación se muestran los comandos principales que podemos utilizar con

Google. Hay que tener en cuenta que todos ellos deben ir seguidos (sin espacios)
de la consulta que quiere realizarse:

 define:término  - Se muestran definiciones procedentes de páginas web

para el término buscado.
 filetype:término  - Las búsquedas se restringen a páginas cuyos
nombres acaben en el término especificado. Sobretodo se utiliza para
determinar la extensión de los ficheros requeridos. Nota: el
comando  ext:término  se usa de manera equivalente.
 site:sitio/dominio  - Los resultados se restringen a los contenidos en
el sitio o dominio especificado. Muy útil para realizar búsquedas en sitios
que no tienen buscadores internos propios.
 link:url  - Muestra páginas que apuntan a la definida por dicha url. La
cantidad (y calidad) de los enlaces a una página determina su relevancia
para los buscadores. Nota: sólo presenta aquellas páginas con pagerank 5
o más.
 cache:url  - Se mostrará la versión de la página definida por url que
Google tiene en su memoria, es decir, la copia que hizo el robot de Google la
última vez que pasó por dicha página.
 info:url  - Google presentará información sobre la página web que
corresponde con la url.
 related:url  - Google mostrará páginas similares a la que especifica la
url.  Nota: Es difícil entender que tipo de relación tiene en cuenta Google
para mostrar dichas páginas. Muchas veces carece de utilidad.
 allinanchor:términos  - Google restringe las búsquedas a aquellas
páginas apuntadas por enlaces donde el texto contiene los términos
buscados.
 inanchor:término  - Las búsquedas se restringen a aquellas apuntadas
por enlaces donde el texto contiene el término especificado. A diferencia de
allinanchor se puede combinar con la búsqueda habitual.
 allintext:términos  - Se restringen las búsquedas a los resultados que
contienen los términos en el texto de la página.
  intext:término  - Restringe los resultados a aquellos textos que
contienen término en el texto. A diferencia de allintext se puede combinar
con la búsqueda habitual de términos.
 allinurl:términos  - Sólo se presentan los resultados que contienen
los términos buscados en la url.
 inurl:término  - Los resultados se restringen a aquellos que contienen
término en la url. A diferencia de allinurl se puede combinar con la
búsqueda habitual de términos.
 allintitle:términos  - Restringe los resultados a aquellos que
contienen los términos en el título.
 intitle:término  - Restringe los resultados a aquellos documentos que
contienen término en el título. A diferencia de allintitle se puede combinar
con la búsqueda habitual de términos.
Operadores Booleanos Google Hacking

Google hace uso de los operadores booleanos para realizar búsquedas

combinadas de varios términos. Esos operadores son una serie de símbolos que
Google reconoce y modifican la búsqueda realizada:

 " "  - Busca las palabras exactas.

 -  - Excluye una palabra de la búsqueda. (Ej:  gmail -hotmail , busca
páginas en las que aparezca la palabra gmail y no aparezca la
palabra hotmail)
 OR (ó |)  - Busca páginas que contengan un término u otro.
 +  - Permite incluir palabras que Google por defecto no tiene en cuenta al ser
muy comunes (en español: "de", "el", "la".....). También se usa para que
Google distinga acentos, diéresis y la letra ñ, que normalmente son
elementos que no distingue.
 *  - Comodín. Utilizado para sustituir una palabra. Suele combinarse con el
operador de literalidad (" ").
Shodan: Comandos principales

Comandos relevantes para Shodan

A continuación se presentan algunos de los filtros más relevantes para el uso de

Shodan:

 after : Only show results after the given date (dd/mm/yyyy) string
 asn : Autonomous system number string
 before : Only show results before the given date (dd/mm/yyyy) string
  category : Available categories: ics, malwarestring
 city : Name of the city string
 country : 2-letter country code string
 geo : Accepts between 2 and 4 parameters. If 2 parameters: latitude,
longitude. If 3 parameters: latitude, longitude, range. If 4 parameters: top left
latitude, top left longitude, bottom right latitude, bottom right longitude.
 hash : Hash of the data property integer
 has_ipv6 : True/False boolean
 has_screenshot : True/False boolean
 server : Devices or servers that contain a specific server header flag string
 hostname : Full host name for the device string
 ip : Alias for net filter string
 isp : ISP managing the netblock string
 net : Network range in CIDR notation (ex.199.4.1.0/24) string
 org : Organization assigned the netblock string
 os : Operating system string
 port : Port number for the service integer
 postal : Postal code (US-only) string
 product : Name of the software/product providing the banner string
 region : Name of the region/state string
 state : Alias for region string
 version : Version for the product string
 vuln : CVE ID for a vulnerability string

Shodan es un motor de búsqueda que sirve para encontrar dispositivos

escaneados conectados a internet. Este buscador se vale del escaneo de puertos,
realizado por miles de usuarios, cuyos resultados se almacenan en sus servidores
para que otros puedan consultarlos
PODEMOS OCUPAR EL REPOSITORIO DE BUSQUEDAS EN GITHUB
Podemos usar la opción de developers para poder automatizar las
búsquedas
SHODAN
CENCYS
WHOIS: Consulta a las bases de datos que tiene cada uno de los
registradores para consultar información de un nombre de dominio o
dirección IP
Wayback machine y archive.org: Una forma de recuperar información
historica que estuvo publicada en internet

SEGURIDAD DE LA INFORMACION
Es el acto de proteger los datos y a información contra el acceso no
autorizado, la modificación, corrupción o destrucción
Seguridad de los sistemas de información: Proteger a los sistemas que
contienen y procesan nuestros datos críticos

Triada CIA: Confidencialidad, integridad y disponibilidad

La confidencialidad se refiera a que la información no ha sido
revelada a personas no autorizadas, la encriptación es la forma en
la que aseguramos un archivo o sistema. Siempre que hablamos de
encriptación hablamos de confidencialidad
La integridad es donde garantizamos que la información no ha sido
modificada o alterada sin la debida autorización (hashes)
La disponibilidad nos garantiza que se pueda acceder a la
información, almacenarla o protegerla en todo momento
LAS TRES A DE LA SEGURIDAD
Autenticación: La identidad de una persona es confirmada por el
sistema
Autorización: Se da acceso a los a usuarios a determinados datos
Accounting (contabilidad): Garantiza el seguimiento de los datos, el
uso de ordenadores y los recursos de red, permite verificar quienes
ingresaron a un equipo y que modificaciones hicieron
AMENAZAS
Malware: Software malicioso, virus, gusanos, troyanos, spyware,
rootkits, adware, ransomware
Acceso no autorizado: Acceso a datos o sistema sin consentimiento
del propietario
Fallo del sistema: Bloqueo de un equipo o falla de una aplicación
individual
Ingeniería Social: Manipulación del usuario para que revele
información confidencial o que realice acciones perjudiciales
MITIGACION DE AMENAZAS
Controles físicos: Aquellas cosas que se añaden al entorno para
evitar que las cosas ocurran (Sistemas de alarmas, CCTV, tarjetas de
identificación, guardias, placas, etc.)
Controles técnicos: Tarjetas inteligentes, listas de control de
accesos, sistemas de detección de intrusos, autenticación de redes
Controles administrativos: Políticas, procedimientos, planes de
contingencia
 Controles de procedimiento (La organización lo decide por si
misma)
 Reglamentos (La ley lo exige)

HACKERS (Y SUS TIPOS)

Sombrero Blanco: No malicioso, entrada a petición de una
compañía
Sombrero Negro: Malintencionados, intentan ingresar a
computadoras y redes sin autorización o permiso
Sombrero Gris: Sin afiliación a ninguna compañía, solo intentan
ingresar a una red para ver si logran hacerlo
Sombrero Azul: Intenta piratear la red de una empresa con el
permiso de esta, pero no es empleado
Elite: Crean sus propias herramientas y programas para explorar
vulnerabilidades
ACTORES DE AMENAZAS
Script kiddie: Poca o ninguna experiencia y solo utilizan
herramientas y scripts hechos por otros
Hacktivista: Motivados por el cambio social
Crimen organizado: Hackers pertenecientes a un grupo bien
financiado y sofisticado
Amenazas persistentes avanzadas (APT) Financiados por estados
nacionales
FUENTES DE INTELIGENCIA
Puntualidad: Garantiza que está al día, ya que al pasar el tiempo la
información pierde su valor (mantener la información actualizada es
importante)
Relevancia: Garantiza su adecuación al caso de uso para que el que
fue concebida (enfocarnos en lo que afecta a mi y a mi
organización)
Precisión: Resultados eficaces (información valida y verdadera)
Nivel de confianza: Declaraciones cualificadas sobre la fiabilidad
PARA ENCONTRAR INFORMACION
Código cerrado: Proceden de los propios esfuerzos de investigación
y análisis del proveedor, información extraída de los sistemas de
otros clientes y convenientemente anonimizada Fireeye
Código Abierto: Disponibles para su uso sin suscripción (US-CERT,
UK’s NCSC, MISP, AT&T Security, VirusTotal, SpamHaus, SANS ISC
Suspicious Domains
OSINT: Método para obtener información de una persona u
organización a través de registros públicos, sitios web y redes
sociales
CAZA DE AMENAZAS
Técnica de ciberseguridad diseñada para detectar la presencia de
amenazas que no han sido descubiertas por la supervisión normal
de la seguridad
Análisis de datos dentro de los sistemas que ya tenemos
 Una forma es analizar el trafico de red para determinar si hay
algún tráfico saliente hacia algún tipo de dominio
 Analizar los procesos ejecutables en dichos hosts
 Analizar host infectados
 Identificar el proceso malicioso por el que realmente fue
ejecutado
MARCOS DE ATAQUE
 Lockheed Martin Kill Chain: Método de 7 pasos
1) Reconocimiento: El atacante determina que métodos
necesita utilizar para completar el ataque (código
abierto, recopilación pasiva de información)
2) Armamento: Codificación o creación del malware o
exploit que se quiere ejecutar
3) Entrega: Identificación del vector por el que se pueda
transmitir el código (correo, USB,
4) Explotación: El código convertido en arma se ejecuta en
el sistema objetivo por cualquier mecanismo
 5) Instalación: Mecanismo que permite que el código para
ejecutar una herramienta de acceso remoto y lograr
persistencia en ese sistema de destino
6) Mando y control (C2): Establece canal de salida a
servidor remoto para controlar esa herramienta y de ser
posible descargar herramientas adicionales
7) Acción sobre objetivos: Una vez que se tiene al acceso

Esta cadena se utiliza para hacer un análisis e identificar

acciones defensivas para contrarrestar el progreso del
ataque en cada una de sus etapas (planificar todas las
formas en que alguien puede entrar en mi sistema)
 MITRE ATT&CK Framework: Nace de considerar al KillChain
como demasiado centrado en la seguridad perimetral. Se trata
de una base de conocimientos mantenida por la MITRE que
enumera y explica tácticas, técnicas y conocimientos comunes
específicos (attack.mitre.org) Gran modelo para trazar el mapa
de un adversario para saber como realiza sus diferentes
ataques
 Diamond Model of Intrusion Analysis: Para representar un
evento de intrusión que nos permita visualizar rápidamente la
fase donde se está dando el ataque

MALWARE
Tipos de malware
Virus: Código malicioso que se ejecuta sin conocimiento del usuario
y comienza a esparcirse conforme el usuario ejecute esa acción
 Boot sector: Se almacena en el primer sector de un disco duro
y se carga cada vez que se inicia el equipo
 Macro: Código que permite incrustar un virus en otro
documento
 Program: Buscan archivos ejecutables o de aplicación para
infectarlos
 Multipartite: Combinación entre un boot y un program, el
virus se sitúa en el sector de arranque y se carga cada vez que
se inicia el equipo y a su vez puede instalarse en un programa
donde pueda ejecutarse cada vez que se inicia el ordenador
 Polymorphic: Virus encriptado, no solo cifra el contenido, sino
que cambia el código cada vez que se ejecuta
 Methamorphic: Se reescriben así mismo antes de intentar
infectar un archivo, versión avanzada del anterior
 Armored: Cuentan con capa de protección para confundir al
programa que intente analizarlo
 Hoax: Una forma de engaño para que el usuario infecte su
propio equipo (Solo se logra la infección si el usuario sigue los
pasos que el engaño marca)

WORMS: Tipo de virus que puede replicarse a sí mismo por toda

la red sin intervención del usuario
TROJANS: Programas maliciosos que se disfrazan de programas
inofensivos o deseables, también esta el Remote Access Trojan
(RAT) que provee al atacante del control remoto de una maquina
Ransomware: Bloqueo del acceso del usuario a su equipo,
mediante la encriptación de archivo o cambios de contraseñas
con la finalidad de pedir un rescate a cambio de esta información
(uso de copias de seguridad)
Spyware: Se instala en el equipo y recopila información sin el
consentimiento del usuario (comúnmente se instala a través de
un sitio web o software de terceros) puede llegar a tomar
capturas o detectar cada pulsación del teclado para enviarlo al
atacante

Dentro de los Spyware están los Adware, que tienen como

objetivo mostrar anuncios y publicidad específicos de acuerdo
con tu información
Otra categoría de los spyware son los Jokeware, que se utiliza
comúnmente para hacer que algo se comporte de manera
inadecuada, sin causar ninguna consecuencia grave
Rootkits: Software diseñado para obtener control a nivel
administr sobre un determinado sistema, recordando que los
permisos de administrador son los mas altos otorgables. Usan
DDL Injection, la cual inserta el código malicioso en un proceso
que se esté ejecutando, aprovechando Dynamic Link Libraries,
(MANIPULACION DE DRIVERS) todo esto mediante usos de shim,
el cual es una pieza de código de software que se coloca entre
dos componentes
Spam: Abuso de mensajería electrónica (SPIM se refiere al abuso
de sistemas de mensajería instantánea)
INFECCIONES DE MALWARE
Vector de amenaza: Método que usa un atacante para ingresar a
una maquina (software sin parches, phishing, memoria USB, etc.)
Vector de ataque: El medio por el que el atacante ingresa al
equipo
Las formas más comunes de infectar un equipo son mediante
software, mensajería (Servidores de correos, servidores FTP, y redes
peer-to-peer como BitTorrent, etc.) y medios como CD, DVD, USB,
Discos duros
BOTNET: Conjunto de ordenadores comprometidos bajo el control
de un nodo maestro, ideales para cualquier cosa que requiera un
uso intensivo del procesador
DDoS (ataque distribuido de denegación de servicio): Ocurre
cuando muchas maquinas tienen como objetivo una única victima y
realizan el ataque al mismo tiempo, con el objetivo de negar la
capacidad de realizar sus funciones normales o servicios
Interceptación activa: Se produce cuando un ordenador se
interpone entre el ordenador emisor y el ordenador receptor o
servidor destino
Escalada de privilegios: Se refiere a la explotación de un fallo de
diseño o error de un sistema para acceder a recursos a los que un
usuario normal no tiene accesos