Documentos de Académico
Documentos de Profesional
Documentos de Cultura
Digamos que se entiende por amenaza una condición del entorno del sistema de información (persona,
máquina, suceso o idea) que, dada una oportunidad, podría dar lugar a que se produjese una violación de
la seguridad (confidencialidad, integridad, disponibilidad o uso legítimo).
La política de seguridad y el análisis de riesgos habrán identificado las amenazas que han de ser
contrarrestadas, dependiendo del diseñador del sistema de seguridad especificar los servicios y
mecanismos de seguridad necesarios.
Las amenazas a la seguridad en una red pueden caracterizarse modelando el sistema como un flujo de
información desde una fuente, como por ejemplo un fichero o una región de la memoria principal, a un
destino, como por ejemplo otro fichero o un usuario.
Un ataque no es más que la realización de una amenaza. Las cuatro categorías generales de amenazas o
ataques son las siguientes:
Modificación: una entidad no autorizada no sólo consigue acceder a un recurso, sino que
es capaz de manipularlo. Este es un ataque contra la integridad. Ejemplos de este ataque
son el cambio de valores en un archivo de datos, alterar un programa para que funcione
de forma diferente y modificar el contenido de mensajes que están siendo transferidos
por la red.
Sus objetivos son la intercepción de datos y el análisis de tráfico, una técnica más sutil para obtener
información de la comunicación, que puede consistir en:
Obtención del origen y destinatario de la comunicación, leyendo las cabeceras de los paquetes
monitorizados.
Control del volumen de tráfico intercambiado entre las entidades monitorizadas, obteniendo así
información acerca de actividad o inactividad inusuales.
Control de las horas habituales de intercambio de datos entre las entidades de la comunicación,
para extraer información acerca de los períodos de actividad.
Los ataques pasivos son muy difíciles de detectar, ya que no provocan ninguna alteración de los datos. Sin
embargo, es posible evitar su éxito mediante el cifrado de la información y otros mecanismos.
Ataques Activos
Estos ataques implican algún tipo de modificación del flujo de datos transmitido o la creación de un falso
flujo de datos, pudiendo subdividirse en cuatro categorías:
Suplantación de identidad: el intruso se hace pasar por una entidad diferente. Normalmente
incluye alguna de las otras formas de ataque activo. Por ejemplo, secuencias de autenticación
pueden ser capturadas y repetidas, permitiendo a una entidad no autorizada acceder a una serie
de recursos privilegiados suplantando a la entidad que posee esos privilegios, como al robar la
contraseña de acceso a una cuenta.
Repetición: uno o varios mensajes legítimos son capturados y repetidos para producir un efecto
no deseado, como por ejemplo ingresar dinero repetidas veces en una cuenta dada.
Modificación de mensajes: una porción del mensaje legítimo es alterada, o los mensajes son
retardados o reordenados, para producir un efecto no autorizado. Por ejemplo, el mensaje
"Ingresa un millón de pesos en la cuenta A" podría ser modificado para decir "Ingresa un millón
de pesos en la cuenta B".
Interrupción o degradación fraudulenta del servicio: impide o inhibe el uso normal o la gestión
de recursos informáticos y de comunicaciones. Por ejemplo, el intruso podría suprimir todos los
mensajes dirigidos a una determinada entidad o se podría interrumpir el servicio de una red
inundándola con mensajes espurios. Entre estos ataques se encuentran los de denegación de
servicio, consistentes en paralizar temporalmente el servicio de un servidor de correo, Web, FTP,
etc.
ANATOMÍA DE ATAQUES
ANATOMÍA DE UN ATAQUE INFORMÁTICO
Conocer las diferentes etapas que conforman un ataque informático brinda la ventaja de aprender a
pensar como los atacantes y a jamás subestimar su mentalidad. Desde la perspectiva del profesional de
seguridad, se debe aprovechar esas habilidades para comprender y analizar la forma en que los atacantes
llevan a cabo un ataque.
Básicamente se compone de cinco etapas bien diferenciadas que permiten acceder a un sistema de forma
metódica y sistemática.
Fase 2: Scanning (Exploración). En esta segunda etapa se utiliza la información obtenida en la fase
1 para sondear el blanco y tratar de obtener información sobre el sistema víctima como
direcciones IP, nombres de host, datos de autenticación, entre otros.
Entre las herramientas que un atacante puede emplear durante esta fase se encuentran:
Network mappers
Port mappers
Network scanners
Port scanners
Vulnerability scanners
Fase 3: Gaining Access (Obtener acceso). En esta instancia comienza a materializarse el ataque a
través de la explotación de las vulnerabilidades y defectos del sistema (Flaw exploitation)
descubiertos durante las fases de reconocimiento y exploración.
Algunas de las técnicas que el atacante puede utilizar son:
Buffer Overflow
Denial of Service (DoS)
Distributed Denial of Service (Ddos)
Password filtering
Session hijacking
Fase 4: Maintaining Access (Mantener el acceso). Una vez que el atacante ha conseguido acceder
al sistema, buscará implantar herramientas que le permitan volver a acceder en el futuro desde
cualquier lugar donde tenga acceso a Internet. Para ello, suelen recurrir a recursos como:
Backdoors
Rootkits
Troyanos
Fase 5: CoveringTracks (Borrar huellas). Una vez que el atacante logró obtener y mantener el
acceso al sistema, intentará borrar todas las huellas que fue dejando durante la intrusión para
evitar ser detectado por el profesional de seguridad o los administradores de la red. En
consecuencia, buscará eliminar los archivos de registro ¡log) o alarmas del Sistema de Detección
de Intrusos (IDS).
Virus Informático
Es un programa informático diseñado para infectar archivos. Además, algunos podrían ocasionar efectos
molestos, destructivos e incluso irreparables en los sistemas sin el consentimiento y/o conocimiento del
usuario. Cuando se introduce en un sistema normalmente se alojará dentro del código de otros
programas. El virus no actúa hasta que no se ejecuta el programa infectado.
Algunos de ellos, además están preparados para activarse cuando se cumple una determinada condición
(una fecha concreta, una acción que realiza el usuario, etc.). Los efectos de los virus pueden ser muy
molestos para los usuarios ya que la infección de un fichero puede provocar la ralentización del ordenador
o la modificación en su comportamiento y funcionamiento, entre otras cosas.
Gusanos Informáticos
Los "Gusanos Informáticos" son programas que realizan copias de sí mismos, alojándolas en diferentes
ubicaciones del ordenador. El objetivo de este malware suele ser colapsar los ordenadores y las redes
informáticas, impidiendo así el trabajo a los usuarios. A diferencia de los virus, los gusanos no infectan
archivos.
El principal objetivo de los gusanos es propagarse y afectar al mayor número de ordenadores posible. Para
ello, crean copias de sí mismos en el ordenador afectado, que distribuyen posteriormente a través de
diferentes medios, como el correo electrónico, programas P2P o de mensajería instantánea, entre otros.
Los gusanos suelen utilizar técnicas de ingeniería social para conseguir mayor efectividad. Para ello, los
creadores de malware seleccionan un tema o un nombre atractivo con el que camuflar el archivo
malicioso. Los temas más recurrentes son los relacionados con el sexo, famosos, temas morbosos, temas
de actualidad o software pirata.
Troyanos
El principal objetivo de este tipo de malware es introducir e instalar otras aplicaciones en el equipo
infectado, para permitir su control remoto desde otros equipos.
Los troyanos no se propagan por sí mismos, y su nombre deriva del parecido en su forma de actuar con
los astutos griegos de la mitología, ya que los troyanos llegan al equipo del usuario como un programa
aparentemente inofensivo, pero, en determinados casos, al ejecutarlo instalará en el equipo infectado un
segundo programa; el troyano en sí. Este es un claro ejemplo de la familia de troyanos de tipo downloader.
Actualmente y a nivel mundial, el porcentaje del tráfico de Malware que representan los troyanos es:
Virus: 10.56%.
Stealer
En español "ladrón de información" es el nombre genérico de programas informáticos maliciosos del tipo
troyano, que se introducen a través de internet en un ordenador con el propósito de obtener de forma
fraudulenta información confidencial del propietario, tal como su nombre de acceso a sitios web,
contraseña o número de tarjeta de crédito.
Crimeware
Es un tipo de software que ha sido específicamente diseñado para la ejecución de delitos financieros en
entornos en línea. El término fue creado por Peter Cassidy, Secretario General del Anti-PhishingWorking
para diferenciarlo de otros tipos de software malicioso.
Grayware
Es un nuevo término que comienza a aparecer en las pantallas de radar de los profesionales de informática
y de seguridad. Muchos usuarios finales solo conocen vagamente acerca del "Grayware" y su impacto
potencial en sus computadoras. Sin embargo, la probabilidad de sus sistemas esté infectados es
extremadamente alta y muchos usuarios han sufrido los síntomas producidos por estos programas.
Es un término abarcador aplicado a un amplio rango de programas que son instalados en la computadora
de un usuario para dar seguimiento o reportar cierta información a un tercero. Estas aplicaciones son
usualmente instaladas y “corren” sin el permiso del usuario.
Las formas en que un programa puede llegar al ordenador son las siguientes:
Explotando una vulnerabilidad: cualquier programa del ordenador puede tener una
vulnerabilidad que puede ser aprovechada para introducir programas maliciosos en el ordenador.
Es posible que tengan alguna vulnerabilidad que sea aprovechada por un atacante para introducir
programas maliciosos. Para prevenir quedarse infectado de esta forma, recomendamos tener
siempre actualizado el software el equipo.
Ingeniería social: apoyado en técnicas de ingeniería social para apremiar al usuario a que realice
determinada acción. La ingeniería social se utiliza sobre todo en correos de phishing, pero puede
ser utilizada de más formas, por ejemplo, informando de una falsa noticia de gran impacto, un
ejemplo puede ser alertar del comienzo de una falsa guerra incluyendo un enlace en que se puede
ver más detalles de la noticia; a donde realmente dirige el enlace es a una página Web con
contenido malicioso. Tanto para los correos de phishing como para el resto de mensajes con
contenido generado con ingeniería social, lo más importante es no hacer caso de correos recibidos
de remitentes desconocidos y tener en cuenta que su banco nunca le va a pedir sus datos
bancarios por correo.
Por un archivo malicioso: esta es la forma que tienen gran cantidad de troyanos de llegar al
equipo. El archivo malicioso puede llegar como adjunto de un mensaje, por redes P2P, como
enlace a un fichero que se encuentre en Internet, a través de carpetas compartidas en las que el
gusano haya dejado una copia de sí mismo…La mejor forma de prevenir la infección es analizar
con un antivirus actualizado todos los archivos antes de ejecutarlos, aparte de no descargar
archivos de fuentes que no sean fiables.
Cookies maliciosas: Existe un tipo de ficheros que según el uso que tengan, pueden o no ser
peligrosos, son las cookies. Las cookies son pequeños ficheros de texto que se crean en el
navegador al visitar páginas Web; almacenan diversa información que, por lo general, facilitan la
navegación del usuario por la página Web que se está visitando y lo más importante no tienen
capacidad para consultar información del ordenador en el que están almacenadas. Sin embargo,
existen un tipo de cookies llamadas cookies maliciosas que su cometido no es facilitar la
navegación por determinadas páginas, sino monitorizar las actividades del usuario en Internet
con fines maliciosos, por ejemplo, capturar los datos de usuario y contraseña de acceso a
determinadas páginas Web o vender los hábitos de navegación a empresas de publicidad.
Antivirus
En informática los antivirus son programas cuyo objetivo es detectar y/o eliminar virus informáticos.
Nacieron durante la década de 1980.
Con el transcurso del tiempo, la aparición de sistemas operativos más avanzados e Internet, ha hecho que
los antivirus hayan evolucionado hacia programas más avanzados que no sólo buscan detectar virus
informáticos, sino bloquearlos, desinfectarlos y prevenir una infección de los mismos, y actualmente ya
son capaces de reconocer otros tipos de malware, como spyware, rootkits, etc. Estos son los diferentes
tipos.
Escritorio: Es un software que se encuentra instalado en el pc controlado en todo momento la
actividad de los ficheros en busca de amenazas. En cualquier momento se puede analizar el
equipo a fondo.
Online: Es un software que a través del navegador analiza tu equipo sin necesidad de instalar
nada. No suelen ser fiables.
Portables: Es un software que se encuentra normalmente en una unidad portátil y que se puede
ejecutar en cualquier equipo sin necesidad de instalación solamente enchufando o introduciendo
la unidad portátil.
Live: Es software normalmente instalado en un CD que nos sirve para analizar el equipo sin
necesidad de cargar el SO evitando así el camuflamiento de algunos virus.
Con el antivirus.
Todos los navegadores tienen una opción para bloquear sitios web de echo cuando los antivirus detectan
alguna amenaza en un sitio concreto lo bloquean para siempre y no podrás acceder a ese sitio web nunca
Aunque es posible hacer la actualización de forma manual, lo más sencillo es hacerlo de forma automática.
De esta forma el propio sistema busca las actualizaciones, las descarga e instala sin que nosotros
tengamos que intervenir en el proceso.