Asignatura Datos del alumno Fecha

Ciberdelitos y Regulación Apellidos:

12-06-23
de la Ciberseguridad Nombre:

Actividad individual 2: Vectores de ataque

Introducción
En la actualidad todo dispositivo (computadora, smartphone, etc) conectado a
internet es vulnerable a cualquier tipo de ataque cibernético, es por eso que el
siguiente documento hablaremos de un ataque en particular y a la vez
mencionando las múltiples vulnerabilidades que podemos llegar a encontrar en la
internet.
Vectores de ataques
Se refieren a las vías o métodos utilizados por los atacantes para comprometer la
seguridad de un sistema o red. Estos vectores de ataque representan las posibles
formas en que un atacante puede explotar vulnerabilidades o debilidades en un
sistema para llevar a cabo un ataque exitoso.
Algunos ejemplos comunes de vectores de ataque incluyen:
Malware: El uso de software malicioso, como virus, troyanos, gusanos o
ransomware, para infiltrarse en sistemas y dañar o robar información.
Phishing: Envío de correos electrónicos o mensajes falsos que parecen legítimos,
con el objetivo de engañar a los usuarios para que revelen información confidencial,
como contraseñas o datos bancarios.
Ingeniería social: Manipulación psicológica para engañar a las personas y obtener
acceso no autorizado a sistemas o información. Esto puede implicar hacerse pasar
por alguien de confianza, como un empleado o un representante de soporte
técnico.
Ataques de fuerza bruta: Intentos repetidos y automáticos de adivinar contraseñas
o claves de cifrado al probar todas las combinaciones posibles hasta encontrar la
© Universidad Internacional de La Rioja (UNIR)
correcta.
Denegación de servicio (DoS): Sobrecarga intencional de un sistema o red mediante
el envío de una gran cantidad de solicitudes o tráfico, con el objetivo de hacer que
el servicio sea inaccesible para los usuarios legítimos.

1
Actividades
 Asignatura Datos del alumno Fecha
Ciberdelitos y Regulación Apellidos:
12-06-23
de la Ciberseguridad Nombre:

Vulnerabilidades de software: Explotación de debilidades en programas o sistemas

operativos que permiten a los atacantes obtener acceso no autorizado o ejecutar
código malicioso.
Ataques de red: Explotación de vulnerabilidades en la infraestructura de red para
interceptar, modificar o robar datos en tránsito.
Caso de investigación: Hackeo a la sedena (Mexico)
En septiembre se dio a conocer que los correos electrónicos de personal de la
Secretaría de la Defensa Nacional, incluidos los altos mandos de la institución,
fueron hackeados desde julio de 2022. Esto se debió a una vulnerabilidad digital de
la que se tenía conocimiento entre especialistas informáticos desde 2021. Entre los
diversos hackers que extrajeron información de la SEDENA destacó el grupo
autodenominado “Guacamaya”, que puso 6 terabytes de datos a disposición de
diferentes organizaciones, periodistas e investigadores. Esa información equivale a
alrededor de 39 millones de páginas de documentos. Para ponerlo en perspectiva, si
esa cantidad de hojas fueran acomodadas una detrás de otra en línea recta,
tendrían una extensión de más de 10 mil kilómetros, por lo que podrían llegar
desde la Ciudad de México hasta Madrid, en España, y todavía sobrarían hojas para
otra línea recta desde Palacio Nacional hasta Cancún.
En la conferencia diaria presidencial se ha confirmado la veracidad de los
documentos. Sin embargo, se ha tratado de minimizar la importancia del hackeo y
el titular de la SEDENA se ha negado a dar explicaciones al respecto. Hasta el
momento se acumulan más de 100 investigaciones individuales realizadas por
organizaciones como MCCI, Latinus, Aristegui Noticias, Animal Político, Proceso,
Reforma, El Universal, El País, entre muchas más, que revelan presuntos delitos que
gravitan alrededor de las instituciones castrenses: espionaje a activistas y
© Universidad Internacional de La Rioja (UNIR)
periodistas desde el gobierno; categorización de grupos feministas y de víctimas
como grupos tan peligrosos como el crimen organizado; evidencia precisa sobre
grupos criminales que no es utilizada para actuar contra ellos; venta ilegal de armas
del ejército al narcotráfico; uso de recursos militares para el disfrute personal del

2
Actividades
 Asignatura Datos del alumno Fecha
Ciberdelitos y Regulación Apellidos:
12-06-23
de la Ciberseguridad Nombre:

presidente y su familia y; el papel de los militares en la formulación de iniciativas

legislativas, como la de la incorporación oficial de la Guardia Nacional a la Secretaría
de la Defensa.
Aún no se conocen todos los hechos de interés público que se encuentran
documentados en los #SedenaLeaks o #GuacamayaLeaks, como se ha conocido a
este hackeo histórico. Los datos procesados hasta el momento por quienes tienen
acceso a la información son apenas una fracción mínima del total de documentos
filtrados.
Video adjunto Hackeo a la sedena
¿Qué ocurrió en el ataque a la sedena?
Los cibercriminales realizaron el HACKEO explotando la vulnerabilidad de Zimbra
(un servicio de correo electrónico). Al momento no se tiene algún registro de que
vulnerabilidad fue la que se explotó, pero se informa que previamente habían sido
vulneradas.
El grupo de hackers activistas Guacamaya que se dieron a conocer por sacar a la luz
violaciones a derechos humanos en la minería Fenix en comunidades
guatemaltecas. Este grupo vulnero la seguridad de SEDENA extrayendo 6 TB de
información confidencial de diferentes servidores.
Este grupo hacktivista exploto la vulnerabilidad a través de un corre y subiendo una
web Shell para descargar todos los correos del servidor de Zimbra.
Video adjunto Hackeo Informe al INAI
De acuerdo con el equipo de investigación de Trend Micro, ProxyShell hacen
referencia a los fallos en los servidores de Microsoft Exchange, lo que otorga a los
ciberatacantes ciertos privilegios para ejecutar el código de manera remota,
teniendo así el control total de los dispositivos vulnerados. Este fallo tuvo un parche
© Universidad Internacional de La Rioja (UNIR)
de seguridad en las actualizaciones publicadas en mayo y junio del 2022.
Sin embargo, los dispositivos que no tuvieron la actualización correcta no se
encuentran protegidos y pueden estar expuestos algunas de las fallas de seguridad
identificadas por los siguientes CVE:

3
Actividades
 Asignatura Datos del alumno Fecha
Ciberdelitos y Regulación Apellidos:
12-06-23
de la Ciberseguridad Nombre:

CVE-2021-34473 – Proporciona un mecanismo para la ejecución remota de código

de autenticación previa, lo que permite a los atacantes ejecutar código de forma
remota en un sistema afectado.

CVE-2021-34523 - Permite a los atacantes ejecutar código arbitrario después de la

autenticación en los servidores de Microsoft Exchange debido a una falla en el
servicio de PowerShell que no valida correctamente los tokens de acceso .
CVE-2021-21207 – Permite a los atacantes, posterior a la autenticación, ejecutar
código arbitrario en el contexto del sistema y escribir archivos arbitrarios.
Las 2 identificadas en el hackeo a la SEDENA
CVE-2022-41040 - Se trata de una vulnerabilidad de falsificación de solicitud del
lado del servidor (SSRF).
Codigo extraido de Github
https://github.com/kljunowsky/CVE-2022-41040-POC
CVE-2022-41082 - Esta permite la ejecución remota de código cuando PowerShell es
accesible para el atacante.
Codigo extraido de Github
https://github.com/balki97/OWASSRF-CVE-2022-41082-POC
¿Cómo funciona el ataque? Adjunto video Microsoft Exchange vulnerability
Detalles de la explotacion
El primer paso de este ataque es explotar CVE-2022-41040 para obtener acceso al
extremo de la API de PowerShell. Mediante un filtrado insuficiente de los datos de
entrada en el mecanismo de detección automática de Exchange , un atacante con
una combinación conocida de inicio de sesión y contraseña para una cuenta
registrada puede obtener acceso al extremo privilegiado de la API de Exchange
Server ( https://% exchange server domain% / powershell) . Este acceso permite al
© Universidad Internacional de La Rioja (UNIR)
atacante ejecutar comandos de PowerShell en el entorno de Exchange en la
máquina del servidor, pasándolos en la carga útil a través del protocolo XML SOAP.
En el siguiente paso, el atacante debe obtener acceso a la administración
empresarial basada en web (WBEM) a través del protocolo WSMAN . El atacante

4
Actividades
 Asignatura Datos del alumno Fecha
Ciberdelitos y Regulación Apellidos:
12-06-23
de la Ciberseguridad Nombre:

inicia el shell en el sistema vulnerable para continuar con la ejecución del script de
PowerShell a través de Windows Remote Management (PsRemoting) .

© Universidad Internacional de La Rioja (UNIR)

5
Actividades
 Asignatura Datos del alumno Fecha
Ciberdelitos y Regulación Apellidos:
12-06-23
de la Ciberseguridad Nombre:

Actividades
 Asignatura Datos del alumno Fecha
Ciberdelitos y Regulación Apellidos:
12-06-23
de la Ciberseguridad Nombre:

Solicitud HTTP POST con XML SOAP para iniciar PsRemoting

Después del inicio del shell, el atacante debe extender inmediatamente su vida útil; de lo contrario, el shell se cerrará porque su tiempo de
caducidad es demasiado corto de forma predeterminada. Esto es necesario para una mayor ejecución de comandos en Exchange Server. Para
hacer eso, el atacante envía inmediatamente una solicitud especial a través de WSMAN que habilita la opción de mantener vivo.

Actividades
 Asignatura Datos del alumno Fecha
Ciberdelitos y Regulación Apellidos:
12-06-23
de la Ciberseguridad Nombre:

Solicitud HTTP POST con XML SOAP para extender la vida útil del shell
Después de eso, el atacante explota una segunda vulnerabilidad: CVE-2022-41082 . Al usar PowerShell Remoting, el atacante envía una
solicitud para crear una libreta de direcciones, pasando datos codificados y serializados con una carga útil especial como parámetro. En una
PoC publicada, estos datos codificados contienen un gadget llamado System.UnitySerializationHolder que genera un objeto de la clase
System.Windows.Markup.XamlReader . Esta clase procesa datos XAML de una carga útil, que crea un nuevo objeto de la clase
System.Diagnostics y contiene una llamada de método para abrir un nuevo proceso en el sistema de destino. En la PoC publicada, este proceso
es calc.exe .

Actividades
 Asignatura Datos del alumno Fecha
Ciberdelitos y Regulación Apellidos:
12-06-23
de la Ciberseguridad Nombre:

Demostracion completa del ataque

https://drive.google.com/file/d/1HRz3ROizGMDdZ8lMQgmVyfdSbi4qMVj3/view?
usp=sharing
Medidas a considerar para evitar este tipo de ataques
Después de ver la realidad sobre los ataques que puede sufrir cualquier institución,
organización o persona, puede que te surja la duda sobre: ¿Qué puedes hacer para
no formar parte de las estadísticas de ataque y comprometer tu información? Y es
que hoy en día, los datos son tan valiosos y pueden estar expuestos a cualquier
agente si no los protegemos correctamente, a continuacion algunas
consideraciones a tener en cuenta.
Tener un plan de ciberseguridad: Este puede variar de acuerdo a tu tipo de
empresa, número de colaboradores y necesidades de cada área de tu organización.
Cuidado con los correos electrónicos: Evita abrir mails sospechosos o acceder a
enlaces desconocidos, muchas de las veces se hacen pasar por instituciones
bancarias, tiendas comerciales y más recientemente antivirus para poder acceder a
tu información. Si detectas un correo sospechoso acércate a tu área de TI para que
ellos investiguen más al respecto.
Utiliza el método de autenticación de doble factor: Este mecanismo de verificación
ha salvado a más de 1 de ser atacado. En cada una de las herramientas que utilices
y posea este método no dudes en usarlo.
Mantener tus servicios actualizados, estar pendiente a las correciones de seguridad.
A pesar de que esta vulnerabilidad habia sido reportado con mucho tiempo de
antelacion algunas instituciones incluyendo a la sedena, habian hecho caso omiso
no teniendo en consideracion las consecuencias que en ese entonces podrian llegar
a pasar, ante lo mencionado ya existian parches de seguridad publicados por el
servidor de correo. https://microsoft.github.io/CSS-Exchange/Security/EOMTv2/
Acontinuacion una guia detallada para las vulnerabilidades que mencionamos con
anterioridad en el caso de la sedena.
https://msrc.microsoft.com/blog/2022/09/customer-guidance-for-reported-zero-
day-vulnerabilities-in-microsoft-exchange-server/
© Universidad Internacional de La Rioja (UNIR)

alware: El uso de software malicioso, como virus, troyanos, gusanos o ransomware,

para infiltrarse en sistemas y dañar o robar información.

9
Actividades
 Asignatura Datos del alumno Fecha
Ciberdelitos y Regulación Apellidos:
12-06-23
de la Ciberseguridad Nombre:

Phishing: Envío de correos electrónicos o mensajes falsos que parecen legítimos,

con el objetivo de engañar a los usuarios para que revelen información confidencial,
como contraseñas o datos bancarios.

Ingeniería social: Manipulación psicológica para engañar a las personas y obtener

acceso no autorizado a sistemas o información. Esto puede implicar hacerse pasar
por alguien de confianza, como un empleado o un representante de soporte
técnico.

Ataques de fuerza bruta: Intentos repetidos y automáticos de adivinar contraseñas

o claves de cifrado al probar todas las combinaciones posibles hasta encontrar la
correcta.

Denegación de servicio (DoS): Sobrecarga intencional de un sistema o red mediante

el envío de una gran cantidad de solicitudes o tráfico, con el objetivo de hacer que
el servicio sea inaccesible para los usuarios legítimos.

Vulnerabilidades de software: Explotación de debilidades en programas o sistemas

operativos que permiten a los atacantes obtener acceso no autorizado o ejecutar
código malicioso.

Ataques de red: Explotación de vulnerabilidades en la infraestructura de red para

interceptar, modificar o robar datos en tránsito.

Vector de Ataque. -
Según [ CITATION Pul
\l 2058 ] “cualquier
incidente de seguridad en el
© Universidad Internacional de La Rioja (UNIR)

que una parte no autorizada

acceda o robe
10
Actividades
 Asignatura Datos del alumno Fecha
Ciberdelitos y Regulación Apellidos:
12-06-23
de la Ciberseguridad Nombre:

datos sensibles,
protegidos o
confidenciales. Es el
método en que un
atacante puede obtener
acceso no autorizado a
una red o sistema
informático.”
a) El ataque activo se logra
cuando un intruso logra
instalar códigos
maliciosos para sabotear
el buen desempeño de
© Universidad Internacional de La Rioja (UNIR)

las redes y
computadoras.
11
Actividades
 Asignatura Datos del alumno Fecha
Ciberdelitos y Regulación Apellidos:
12-06-23
de la Ciberseguridad Nombre:

b) El ataque pasivo ocurre

cuando un atacante entra en
una red e
intercepta el intercambio de
datos que se movilizan en la
red
Vector de Ataque. -
Según [ CITATION Pul
\l 2058 ] “cualquier
incidente de seguridad en el
que una parte no autorizada
acceda o robe
datos sensibles,
© Universidad Internacional de La Rioja (UNIR)

protegidos o

12
Actividades
 Asignatura Datos del alumno Fecha
Ciberdelitos y Regulación Apellidos:
12-06-23
de la Ciberseguridad Nombre:

confidenciales. Es el
método en que un
atacante puede obtener
acceso no autorizado a
una red o sistema
informático.”
a) El ataque activo se logra
cuando un intruso logra
instalar códigos
maliciosos para sabotear
el buen desempeño de
las redes y
computadoras.
© Universidad Internacional de La Rioja (UNIR)

13
Actividades
 Asignatura Datos del alumno Fecha
Ciberdelitos y Regulación Apellidos:
12-06-23
de la Ciberseguridad Nombre:

b) El ataque pasivo ocurre

cuando un atacante entra en
una red e
intercepta el intercambio de
datos que se movilizan en la
redInt

© Universidad Internacional de La Rioja (UNIR)

14
Actividades