Documentos de Académico
Documentos de Profesional
Documentos de Cultura
FIJAR:
Actividad que realiza el perito de GESTIÓN DE INCIDENTES:
informática forense a través de la
Listado de procedimientos previamente
utilización de medios de fijación con
documentados sobre los pasos a seguir
el objetivo de volver inalterable una
en caso de detectar una amenaza
imagen, como forma de perpetuar con
de ciberseguridad en la empresa. La
exactitud el lugar de los hechos y los
gestión de incidentes está orientada a
EMP relacionados con este.
mitigar en el menor tiempo posible un
FIRMA DIGITAL: incidente de seguridad identificándolo
y asignando el personal que dará
Conjunto de datos asociados a un respuesta al mismo dentro de unos
mensaje que permite asegurar la parámetros predefinidos.
identidad del firmante y la integridad
del mensaje. HACKING:
(High Definition Multimedia Interface) Tiempo generado por el reloj del sistema
interfaz multimedia de alta definición: y utilizado por el sistema operativo,
hace referencia a la norma de conexión no el tiempo calculado por el sistema
que permite transmitir audio y vídeo sin operativo.
comprimir desde un equipo a otro y con
ICCID:
un único cable, incluido el contenido en
alta definición. Identificador de la Tarjeta del Circuito
Integrado es un número gravado en la
HERRAMIENTA DE EXTRACCIÓN:
SIM de un teléfono.
Dispositivo forense compuesto por
IDENTIFICACIÓN:
hardware o software que permite
la adquisición de la información de Proceso de búsqueda, reconocimiento
manera forense. y documentación de posibles pruebas
digitales.
HIBERFIL.SYS:
INCIDENTE DE SEGURIDAD:
Es un archivo temporal creado para
almacenar el estado de la memoria Cualquier suceso que afecte a
RAM antes de entrar en estado de la confidencialidad, integridad o
hibernación. disponibilidad de los activos de
información, por ejemplo: acceso o
HOJA DE EMBALAJE:
intento de acceso a los sistemas, uso,
Formato diligenciado que se adhiere al divulgación, modificación o destrucción
embalaje con fines de identificación de no autorizada de información.
los elementos de prueba, evidencias o
IMÁGENES:
indicios.
Proceso de creación de una copia bit a
CIBERCRIMEN
NORMATIVAS Y PROTOCOLOS
INTERNACIONALES
ANÁLISIS FORENSE
Es muy novedoso el fenómeno de la delincuencia relacionada con el uso de las TIC, aunque
hace más de 30 años que se empezó a hablar de delitos informáticos y 20 años que se
acuñó el término ciberdelito. Aunque el desarrollo de la tecnología informática comenzó
a lo largo en las décadas de 1960 y 1970, con la creación de Internet y su generalización
posterior, pero la velocidad a la que han surgido nuevas tecnologías en los últimos años
ha aumentado exponencialmente.
El impacto social que marca la revolución de las TIC también es evidente: gracias a la
llegada de Internet y su expansión global, nos hemos acercado mucho a la idea de crear
un ciberespacio virtual. William Gibson acuñó el término cuando configuró un espacio de
comunicación e interacción paralelo al mundo físico.
Gracias a esta revolución de internet, especialmente a partir de 2010, las relaciones
económicas, política, social y sobre todo personal han cambiado. De hecho, es bastante
evidente que hoy en día, las redes de telefonía móvil e internet son la forma más común
de comunicarnos en cualquier entorno, ya sea laboral o personal.
Además, lo accesible de las redes hace que los niños, niñas y adolescentes estén
constantemente expuestos a estas, e interacciones con las TIC de forma habitual.
Como puede verse en la siguiente imagen extraída de “Estudios sobre hábitos en el uso
del efectivo 2022” realizado por el Banco de España, el 44% de la población dispone de
bizum, siendo utilizado diariamente por el 1% de la población.
Este hecho esta estrictamente relacionado con el nacimiento de los llamados “nativos
digitales” concepto acuñado en 2001 por Marc Prensky para designar a los sujetos
que habían crecido con la red y con el progreso tecnológico. Este concepto describe
a las personas que navegan con fluidez, creando sus propios contenidos y esperando
respuestas instantáneas y resultados inmediatos (Granado, 2019).
AMENAZAS INFORMÁTICAS
Según estadísticas recogidas por CERTs a nivel mundial casi un tercio de las computadoras
de todo el mundo, un 31,63 % está infectado con algún tipo de malware. Los troyanos son
los ejemplares de malware más numerosos representando un 16 % de los equipos.
Los últimos años se ha vivido una auténtica revolución en el mundo de la seguridad
informática. La popularización de dispositivos y la creación de nuevos mercados ha
fomentado la aparición de un gran número de amenazas, que de forma constante han
aumentado.
La tendencia de crecimiento de malware en los últimos años ha conseguido que en 2011
se registrase una cantidad total superior a los 86 millones de ejemplares. La gran cantidad
de tipos de malware y la falta de precaución por parte de los usuarios de todo el mundo
ha provocado una alta tasa de infecciones.
Según datos de la infografía de Pandalab, la amenaza de malware más presente son los
troyanos. Se trata de virus que se instalan en los equipos de los usuarios, normalmente
pasando desapercibido, para operar sin su conocimiento. Estos ejemplares de malware
son muy peligrosos y son los más numerosos. El 76,18 por ciento de todo el malware son
troyanos, muy por encima del 7,8 por ciento que son virus y del 6,69 que son gusanos.
La alta presencia de troyanos ha provocado que el 24% de las computadoras esté
infectado con este tipo de malware. A través de los troyanos, los ciberdelincuentes pueden
robar información o controlar los equipos.
Los ataques de Ransomware representan el 79% del total de incidentes en 2020-2021
(según reporte de Sophos) y según el informe de Cybersecurity Ventures se estima que
existió un ataque de ransomware cada 11 segundos para fines del 2021. Esto no incluye
ataques a individuos, que ocurren con mayor frecuencia.
Drive-by downloads: son sitios que instalan spyware o códigos que dan
información de los equipos. Generalmente se presentan como descargas que,
de algún tipo, se efectúan sin consentimiento del usuario, lo cual ocurre al
visitar un sitio web, al revisar un mensaje de correo o al entrar a una ventana
pop-up.
Phreaking: es la utilización
VIRUS INFORMÁTICOS
El virus informático se propaga infectando otro software ejecutable de la misma
computadora. Puede tener un contenido que realice otras acciones maliciosas en donde
se borran archivos. Por tanto, un virus es un archivo ejecutable que desempeña acciones
(dañar archivos, reproducirse, etc. en una computadora sin nuestro consentimiento).
Los teléfonos móviles actúan de faros constantes que señalizan nuestras actividades y
nuestra ubicación. Son los dispositivos menos seguros de todos. El software que emplean
es célebre por la facilidad con la que puede vulnerarse, los smartphones figuran entre los
dispositivos más fáciles de piratear. Existen virus y troyanos diseñados específicamente
para brindar a los atacantes acceso al micrófono de tu teléfono móvil y grabar los sonidos
del entorno, incluso aunque no se esté efectuando una llamada.
Todo lo que se haga y todo lo que se almacene en un móvil puede ser interceptado,
pirateado y transmitido a organizaciones delictivas para su explotación futura. Los
delincuentes pueden utilizar software malicioso para teléfonos móviles para realizar un
seguimiento de la localización en tiempo real, con la ayuda práctica de un mapa de
Google. Incluso es posible activar la videocámara del teléfono inteligente para grabar
al usuario. El problema radica en el sistema operativo. Los sistemas operativos de los
teléfonos móviles son más nuevos que sus homólogos de sobremesa de toda la vida y
mucho menos seguros. Los delincuentes son plenamente conscientes de que el mundo
de los datos masivos cada vez funciona más en dispositivos móviles y ahí es donde están
concentrando todos sus esfuerzos para garantizarse el mejor retorno por sus inversiones
en software malicioso.
Los móviles son la plataforma predilecta. Son dispositivos personales y siempre los llevan
los usuarios y los delincuentes se adaptan e innovan con celeridad.
De hecho, según el informe del Estado Móvil 2022 que ha publicado la compañía de
análisis App Annie, el uso del teléfono móvil ha crecido un 30 por ciento en el año 2021,
con 4,8 horas al día de media por persona, lo que supone un tercio del tiempo que
pasa despierto cada usuario. Los datos de App Annie muestran también que en 2021 se
produjeron 230.000 millones de descargas de nuevas aplicaciones, un 5 por ciento más
que en 2020, incluyendo los datos de plataformas como iOS, Google Play y terceros. De
media, se descargaron 435.000 aplicaciones por minuto en el mundo.
El software poco seguro que añaden las empresas de telefonía móvil y los fabricantes
de dispositivos genera el 60 por ciento de las amenazas de seguridad del ecosistema
Android. Todas esas aplicaciones e interfaces molestas que incorpora el teléfono reciben
el nombre de bloatware (software inflado o innecesario) porque ocupan espacio del
dispositivo, poseen un valor dudoso y únicamente funcionan como trucos comerciales
para el fabricante del dispositivo o la operadora de wifi. No solo son fastidiosas, sino que
su implementación realizada sin demasiado análisis propicia la mayoría de las amenazas
a la seguridad que afectan a los dispositivos Android.
Los teléfonos móviles secuestrados se utilizan cada vez más para enviar mensajes
de correo electrónico no deseado al conectarse a las redes botnets (red de robots
informáticos que se ejecutan de manera autónoma y automática).
ESTAFAS INFORMÁTICAS
Esta modalidad suele ser el volumen más significativo de las investigaciones penales
en el ámbito de la ciberdelincuencia, a lo que hay que sumar la dificultad de su
investigación porque los autores suelen estar en terceros Estados, la cuantía defraudada
es mínima y hay una gran dispersión geográfica de las víctimas; además, la mejora de la
infraestructura criminal para recoger el dinero con menor riesgo ha implicado la creación
de «mulas» con uso de identidades falsas para la creación directa de una cuenta en la
que recepcionar los fondos, que se retirarán posteriormente en un cajero automático
(García de la Concha, 2014).
Entre las estafas más comunes figuran (Fernández-Reyes, 2016):
A continuación, se analizarán un poco más en profundidad otros que tienen una gran
relevancia actualmente (Fernández-Reyes, 2016):
Estos acosadores suelen tener un perfil general (García de la Concha, 2014) que los sitúa:
Los pedófilos, según García de la Concha (2014), suelen seguir una técnica para atraer a
sus víctimas:
SEXTORSIÓN
Es la extorsión sexual (o de otro tipo) derivada del bullying, grooming, sexting. Aprovechando
los datos que se filtran a diario o disponibles a través de los agentes intermediarios,
los ciberacosadores pueden obtener fácilmente información detallada acerca de sus
víctimas, incluidas las direcciones de sus casas y sus trabajos y sus números telefónicos.
A menudo, los ciberacosadores usan estos detalles para confrontar a sus víctimas en
persona.
En las relaciones que han sufrido violencia doméstica en el mundo real, el 45% de las
víctimas admitieron que sus maltratadores las persiguieron y atacaron también online,
llegando a provocar que muchas de ellas padezcan síndrome de estrés postraumático.
Los datos que damos en las redes sociales también aportan información relativa a nuestra
localización y, a efectos prácticos, algo tan peligroso como una bala (Goodman, 2015).
Sitios web como MyEx.com permiten a quienes han sido plantados compartir fotografías
de sus examantes en un único sitio web. Hunter Moore, un joven de 24 años, creó IsAnoneUp.
com, un sitio web extraordinariamente popular que sirve de almacén de datos para
cualquiera que quiera enviar fotografías de sus exparejas y enemigos desnudos, y que
recibe 250 000 visitas diarias. El sitio web está diseñado para listar junto a cada fotografía
enlaces a las cuentas de Facebook o Twitter de la persona, e incluye su nombre completo
Una vez infectado, el gusano de Koobface roba todas las credenciales de inicio de sesión
que es capaz de encontrar en la computadora, incluidas las de las cuentas de Facebook,
Skype, Yahoo!, Messenger y Gmail. Koobface también puede forzar a la computadora a
participar en ataques de denegación de servicio contra terceros y secuestrar resultados
de búsquedas en la red y clics para conducirlos a sitios web peligrosos.
Firesheep era un sencillo módulo del navegador de Firefox que se podía descargar
para colarse en la sesión de Facebook de otras personas conectadas a la misma red
y secuestrar sus cuentas. De esta manera, si, por ejemplo, se comprobaba la cuenta de
Facebook en un lugar público donde se comparte la red con otras veinticinco personas,
y una de ellas ejecutaba Firesheep, podía utilizar el módulo para conectarse en la cuenta
de Facebook de alguien más. Una vez iniciada la sesión, el delincuente puede consultar
SEXTING
Es el envío de fotografías de carácter íntimo/erótico/sexual, a través de las TIC, tratándose
hoy en día de un fenómeno casi global, en cuya práctica se involucran tanto adolescentes,
jóvenes y jóvenes-adultos (Agustina y Gómez-Durán, 2016).
Agustina y Gómez Durán (2016) lo definen específicamente como «la utilización de cualquier
herramienta informática mediante la que cualquier individuo crea y envía a otro individuo
(o individuos) cualquier tipo de mensaje de texto, imagen o vídeo de naturaleza sexual, ya
sea con carácter sugestivo o explícito, de uno mismo y/o de otra persona(s) que, en todo
caso, consiente su participación libremente»; e incluye las siguientes tipologías:
2. Enfoque criminológico de
la víctima del ciberdelito.
2.1. Concepto y objeto de la victimología
La palabra victimología deriva del término inglés “victimology” cuya aparición se remonta
a los años cuarenta, aunque su consolidación no llega hasta los años setenta. Desde su
origen es concebida como la disciplina que se ocupa del estudio científico de las víctimas
y así lo entendía Mendelsohn quién se atribuía la paternidad de esta nueva disciplina.
También se atribuye a Von Henting el título de pionero de la victimología a raíz de su obra
La victimología debe focalizar la atención sobre la víctima a varios niveles, ya que esta
juega un nuevo papel en la interacción con los otros protagonistas del hecho delictivo:
5. Efectividad del sistema legal: estudiar las causas de por qué algunas víctimas
no denuncian los delitos, ya que solo se persiguen aquellos que son denunciados.
Además, la información que aporta la víctima es muy valiosa de cara a posteriores
investigaciones de los fenómenos criminales, hecho que puede beneficiar
enormemente al sistema legal.
Por lo tanto, el objeto de la victimología según Ch. N. Robert (1979) podría quedar definido
por:
1. El estudio del papel desempeñado por las víctimas en la génesis del hecho criminal.
2. La problemática de la asistencia jurídica, moral y terapéutica a las víctimas de un
delito.
3. La investigación de los temores de determinados grupos sociales a la victimización.
4. El examen de la criminalidad real, a través de los informes facilitados por las
víctimas de delitos no perseguidos.
5. Hacer hincapié en la importancia de la víctima dentro de los mecanismos de
reacción de la justicia punitiva y de determinación de las penas.
6. Propiciar la elaboración de disposiciones legales que permita a las víctimas obtener
una indemnización por los daños derivados del hecho delictivo.
La víctima, como sujeto pasivo de la acción criminal, sufre sus consecuencias. Unas
consecuencias que pueden ser tanto físicas, como emocionales, económicas o socio-
culturales. Las lesiones, el insomnio por las pesadillas donde se repite la agresión,
la pérdida de patrimonio o la marginación social que algunas sociedades o culturas
imponen a la víctima de una violación, por ejemplo, son ejemplos de cada una de estas
consecuencias, aunque no agotan, ni muchísimo menos, la lista posible.
Piénsese, en la situación de la madre de Sandra Palo, una muchacha de 22 años con
discapacidad intelectual que en 2003 se encontró con un grupo de chicos. Estos abusaron
de ella de un modo horrendo, violándola repetidamente, golpeándola con una estaca,
atropellándola con el mismo coche en que la secuestraron previamente hasta siete veces
y, después, como aún seguía viva, rociándola con un bidón de gasolina y prendiéndole
fuego. Uno de ellos, precisamente el que la atropelló reiteradamente, sólo es condenado
a 4 años, por ser menor. Ya ha salido de prisión. La madre de Sandra Palo es una víctima
también y su sufrimiento no se podrá frenar. Las secuelas no sólo son emocionales. A partir
de ese momento no se relacionará con normalidad con su entorno e incluso desconfía
de la policía y de la justicia, porque toda condena debe parecerle poca.
Rodríguez Manzanera define a la víctima desde un punto de vista victimológico general
como el individuo o grupo que padece un daño por una acción u omisión propia o
ajena, o por causa fortuita. Desde un punto de vista victimológico criminal se refiere a la
víctima como a la persona física o moral que sufre un daño producido por una conducta
antisocial, propia o ajena, aunque no sea el detentador del derecho vulnerado.
• Las secuelas psicológicas, que son las propias del hecho de victimización
o del impacto traumático (trastorno de estrés postraumático, depresión,
ansiedad, etc.).
• Las relativas al sistema sociopolítico, es decir, la estabilidad económica-
laboral, el apoyo social, etc.
FACTORES INDIVIDUALES
Nos referimos a las diferencias individuales relevantes como la edad, el género o las
características de personalidad. Esta última modula la respuesta individual al hecho
traumático sufrido que puede determinar el riesgo de nuevos hechos victimizantes e
incluso la aparición de situaciones de victimización crónica.
Interesan especialmente los factores relativos al estilo de vida (exposición de esa persona
a situaciones de riesgo), adoptar comportamientos peligrosos bien de provocación o
de disminución de la autoprotección o actitudes poco precavidas en la defensa de sus
bienes jurídicos (ejemplo: dejar bienes de valor dentro de un coche en un lugar que no
sea seguro). El contacto con delincuentes y con actividades ilegales como la trata de
personas o el tráfico de drogas son una gran fuente de riesgo.
OFENSORES
Las características del victimario, su relación con la víctima, las motivaciones que le llevan
a escoger a esa victima son en determinados casos elementos clave. Algunos sucesos
victimizantes se explican por estas consideraciones unidas además a la oportunidad,
cuando se trata de víctimas que son elegidas al azar.
OPORTUNIDAD
Los factores de oportunidad son algunos de los elementos externos a la víctima que
tienen un mayor poder de explicación de la victimización sufrida por algunas personas.
Muy importantes son la ausencia o escasez de recursos de seguridad y la peligrosidad de
determinados espacios (descampados, calles solitarias) y tiempos (madrugadas).
FACTORES SOCIALES
Aquí podemos incluir todos los riesgos derivados de la estructura social, los elementos
ambientales, la estigmatización o marginación de determinados colectivos que se les
puede identificar como objetivos para ser agredidos.
A la victimización se llega por procesos diversos:
VICTIMIZACIÓN PRIMARIA
Es el proceso por el que una persona sufre de modo directo o indirecto, daños físicos
o psíquicos derivados de un hecho delictivo o acontecimiento traumático. Este tipo de
victimización implica un contacto directo entre la víctima y el delincuente o victimario y
refleja la experiencia individual de la víctima y las diversas consecuencias perjudiciales
primarias producidas por el delito, de índole física, económica, psicológica o social.
Los daños experimentados por la víctima no se limitan a la lesión o puesta en peligro del
bien jurídico del que se es titular ya que la víctima sufre a menudo un severo impacto
psicológico que incrementa el daño material o físico del delito. También la impotencia
ante la agresión sufrida o el miedo a que esta se repita producen en la víctima ansiedad,
angustia o abatimiento e incluso sentimientos de culpabilidad en relación a los hechos
acaecidos.
Las personas que han sido víctimas de un delito se encuentran permanentemente en un
estado de alerta y sobresaltadas, presentan dificultades de concentración en sus tareas
rutinarias, se muestran irritables y tienen problemas para conciliar el sueño. Por ello
tienden a sentirse desbordadas por los acontecimientos cotidianos y se auto convencen
de que ya nada está bajo su control. Un estado permanente de alerta lleva al agotamiento
porque, además de estar alterado el sueño, todos los sentidos de la víctima están atentos
sin descanso a los posibles peligros de la vida cotidiana.
Además, está el inconveniente de que la respuesta social ante el sufrimiento de la víctima
no siempre es solidaria lo que genera un mayor aislamiento de la víctima. La victimización
primaria, en resumen, se refiere a la propia vivencia personal del hecho por parte de la
víctima, son las iniciales consecuencias del delito es la acción y la consecuencia que
provoca la actuación del victimario sobre la víctima donde resulta lesionada la persona
desde el orden físico, psíquico, sexual o material.
Para Zaffaroni la victimización primaria se entiende como la derivada de haber padecido
un delito, que cuando va acompañado de violencia o experiencia personal con el autor
suele ir acompañado de efectos que se mantienen en el tiempo y pueden ser físicos,
psíquicos, económicos o de rechazo social.
VICTIMIZACIÓN SECUNDARIA
El término de victimización secundaria fue acuñado por Khüne para referirse a todas las
agresiones psíquicas que la víctima recibe en su relación con los profesionales de los
servicios sanitarios, policiales, o judiciales, así como los efectos del tratamiento informativo
del suceso por parte de los medios de comunicación.
La victimización secundaria deriva de la relación posterior establecida entre la víctima y
el sistema jurídico-penal o unos servicios sociales defectuosos. Es aquella que se produce
VICTIMIZACIÓN INVISIBLE
Finalmente es imprescindible hablar de la “victimización no denunciada” o “victimización
invisible”. Esta victimización se produce en todos aquellos casos en los que una persona
concreta, aun habiendo sido lesionada en sus bienes o en sus derechos, opta por no
denunciar al autor material del delito.
Para referirnos a esta victimización nos basamos en la existencia de una elevada “cifra
negra” de conductas delictuales no denunciadas. Así pues, en países europeos y en
relación con delitos de carácter sexual, por ejemplo, las violaciones comportan un índice
de denuncia en torno al 45%, mientras que los abusos a niños, niñas y adolescentes, de
tan solo un 10%. (V. Garrido, P. Stangeland, S. Redondo.).
Estas víctimas sufren igualmente las consecuencias derivadas del delito, es más con el
agravante de que las sufren en silencio, a la espalda de la sociedad y en solitario la
mayor parte de los casos.
2.5. Revictimización
La revictimización es el sometimiento por parte de una persona a una nueva victimización
criminal. Se erige en concepto central a efectos de diseñar adecuadas estrategias
preventivas de criminalidad.
Los estudios sobre la revictimización nos sugieren que hay lugares o circunstancias
(puntos negros) y personas cuyos rasgos demográficos u hábitos presentan un alto
riesgo de victimización múltiple.
En la revictimización nos encontramos con dos enfoques diferentes:
2.6. La cibervíctima
Se puede definir la cibervictimización como la experiencia de violencia interpersonal en
línea. Esto es, un ataque o agresión a través de cualquier medio tecnológico que atenta
contra bienes jurídicos protegidos, como el honor (por ejemplo, agresiones verbales o
psicológicas, etc.), la libertad sexual (por ejemplo, la distribución inconsentida de cualquier
información íntima o sexual de la víctima), la libertad (por ejemplo, el control o vigilancia y
las amenazas), la dignidad (por ejemplo, ciberodio) o incluso el patrimonio (por ejemplo,
el fraude).
En un sentido más amplio, se incluyen también aquellas situaciones que no están tipificadas
expresamente como delito, como el cyberbullying, el acoso en línea, la sextorsión, etc.,
pero son potencialmente dañinas para sus víctimas.
El ciberespacio constituye un entorno virtual reconocidamente victimogenésico (Agustina,
2014; Herrera Moreno, 2006; Miró, 2012), que proporciona características diferenciales tanto
al hecho o situación victimizante como al proceso de victimización.
Las características propias de este contexto virtual (incorporeidad en las relaciones
en línea, simultaneidad de las experiencias, ausencia de límites geográficos y políticos,
accesibilidad 24/7, velocidad, reducción de inhibiciones y sensación de anonimato y
de distancia segura, escala, alcance, etc.) afectan, sin duda alguna, a los procesos de
victimización y desvictimización, especialmente en los aspectos siguientes:
CIBERVICTIMIZACIÓN ECONÓMICA
La cibervictimización económica es la experiencia que se deriva del ataque contra bienes
CIBERVICTIMIZACIÓN POLÍTICA
La cibervictimización política se deriva de los cibercrímenes que tienen un objetivo
ideológico o institucional e incluyen los delitos de odio, la ciberguerra y el hacktivismo
o ciberativismo político, mediante ataques de denegación de servicios contra páginas
web, etc. Estas conductas también pueden ser realizadas por grupos organizados con
fines políticos o religiosos que utilizan internet para difundir un determinado mensaje
político o como forma de ataque a un estado u organizaciones no gubernamentales
(Curran, Concannon y Mckeever, 2008). Las víctimas suelen ser colectivos o estados.
Los delitos de odio no corresponden propiamente a unas categorías jurídicas concretas,
sino que se refieren a un conjunto de conductas que, en ocasiones, apuntan a acciones
típicas nuevas, y en otras determinan la cualificación de conductas ya tipificadas en el
Código penal o en normas administrativas. Requieren que el acto constituya una infracción
penal y que sea producto de un prejuicio del autor hacia la víctima por pertenecer a un
colectivo vulnerable al odio, normalmente por motivos de raza, religión, ideología, género
u orientación sexual. Es decir, la víctima (o el objetivo) se elige intencionadamente por
el autor por su pertenencia (real o presunta) a un colectivo al que se desea transmitir
rechazo, hostilidad o intimidación.
CIBERVICTIMIZACIÓN SOCIAL
Deriva de los cibercrímenes sociales que afectan a bienes jurídicos personalísimos, como
la libertad, el honor, la indemnidad o la libertad sexual. Según Montiel, Carbonell y Pereda
(2016), se pueden distinguir dos grandes grupos:
3. Prevención, intervención y
persecución estratégica.
3.1. Introducción
La asociación tradicional entre espacio (físico) y distancia es la fuente del concepto de
“virtualidad” en el ciberespacio. No hay distancias en el espacio de comunicación creado
por Internet, pero hay espacio. Por lo tanto, el ciberespacio presupone una contracción
total del espacio (de las distancias) al mismo tiempo que amplía las oportunidades para
la interacción y comunicación humana.
Por lo tanto, las redes son el medio a través del cual se desarrollan nuevas comunidades
virtuales entre individuos que, aunque separados geográficamente, están conectados por
intereses e inquietudes comunes y, por lo tanto, se configuran como comunidades con
una lógica diferente en comparación con los de las comunidades físicas convencionales.
La reducción del espacio tiene dos efectos: primero, un aumento en el valor del tiempo y
segundo, una reducción del período de tiempo requerido para la interacción social. Ante la
ausencia de distancia y la aparición de un espacio virtual de intercomunicación instantánea,
también se reduce el tiempo necesario para la comunicación entre dos personas que se
encuentran separadas físicamente.
d1 d2 d3
t1……………….tiempo……………….tn
à tiempo ßtn t1
Por todo lo anterior, estas investigaciones, según el tipo de delito cometido, hacen que sea
necesaria una especialización para moverse con facilidad en el mundo virtual, porque la
investigación se hará en muchas ocasiones detrás de un teclado e implicará una gran
ayuda de otros organismos, instituciones y empresas, nacionales y extranjeras.
Además, los informes periciales han de ser técnicos y, a la vez, accesibles para poder
demostrar los delitos en una dimensión tan específica. Es necesario, también, conocer
ciertos conceptos básicos para desarrollar la investigación.
Hablar de seguridad de información es mucho más que tratar sobre cómo configurar
firewalls, aplicar parches para corregir nuevas vulnerabilidades en el sistema operativo o
guardar de forma cuidadosa los backups.
Por tanto, la gestión de la seguridad de los sistemas de información cubre todos los
elementos que aparecen en la anterior figura.
La seguridad de la información se suele conceptualizar en torno a tres principios principales
ya mencionados: confidencialidad, integridad y disponibilidad. A continuación, se
describe cada uno de ellos.
Estos tres atributos pueden utilizarse como criterio para los controles de seguridad dentro
de las organizaciones. Sus atributos opuestos, de carácter negativo o no deseable, son la
revelación, la alteración y la destrucción.
LA CONFIDENCIALIDAD
La privacidad es quizá el aspecto que se menciona con más frecuencia en cuanto a la
confidencialidad. La privacidad de la información personal es un derecho protegido por
regulaciones internacionales y nacionales, pero no es más que una de las caras de la
confidencialidad.
En una empresa, la lista de los mejores proveedores en un área no es información personal,
pero obviamente su acceso debe estar limitado a ciertos empleados.
Otro ejemplo podría ser el código fuente de una aplicación informática desarrollada en
una empresa para su venta, ese código no debería revelarse y debería estar estrictamente
protegido. En otros casos, la confidencialidad está asociada a otras restricciones
externas. Por ejemplo, los planes de defensa por su naturaleza deben clasificarse como
confidenciales.
Las amenazas a la confidencialidad son múltiples y los medios para conseguir accesos
muy diversos. Una alternativa es la ingeniería social, que aprovecha el factor humano
para hacerse con información confidencial, pero también muchos troyanos tienen como
objeto extraer información confidencial de manera automática, por ejemplo.
LA INTEGRIDAD
Quizá el ejemplo más típico de ataque contra la integridad sea la alteración de un balance
de una cuenta bancaria. Los ataques contra la integridad suelen implicar también
pérdidas de confidencialidad, pero no necesariamente.
En ocasiones, el intruso o persona no autorizada no modifica la información directamente,
sino que modifica alguno de los programas que la actualizan. De este modo, incluso
sin conocer el saldo de una cuenta bancaria, se puede reducir su cuantía mediante la
alteración deliberada del software, bien del programa en sí o del proceso en ejecución
del programa.
Algunos autores consideran que la integridad debe también cubrir las modificaciones no
autorizadas por el personal autorizado, es decir, el control interno de las autorizaciones.
La integridad de la información se gestiona de acuerdo con tres principios básicos:
• Dar acceso de acuerdo con el criterio del menor privilegio (criterio need-to-
know).
• Separación de obligaciones (duties).
• Rotación de obligaciones.
El primero de los principios es muy simple. Solo se debe dar acceso a los usuarios a
aquellos recursos de información que les sean absolutamente imprescindibles para
realizar su trabajo. Yendo un paso más allá, este principio lleva a establecer controles
específicos para evitar que los usuarios puedan modificar información de maneras
que comprometan su integridad. Un ejemplo de este tipo de controles es un registro
de transacciones de las acciones del usuario, de modo que puedan inspeccionarse
posteriormente.
Análisis estático
El análisis de código estadístico es un conjunto de técnicas que analiza el código de
la aplicación para buscar vulnerabilidades. Las técnicas de taint analysis tratan de
El segundo de los principios implica que, para una determinada tarea, no haya nunca
un solo usuario responsable de realizarla. De esta manera, al menos habrá dos personas
implicadas y será más difícil que se utilice una manipulación de datos para beneficio
personal. El tercero de los principios va en la misma dirección y propone que las tareas
asignadas a los empleados cambien de responsable de vez en cuando. El problema con
la rotación es que, en empresas con pocos empleados en un determinado tipo de puesto,
puede ser difícil el intercambiar sus tareas.
LA DISPONIBILIDAD
Un sistema está disponible cuando sus usuarios legítimos pueden utilizarlo para realizar
funciones legítimas. Es decir, para realizar el trabajo necesario para el negocio.
Los ataques DoS se han hecho populares en la web a través de los medios de comunicación.
Un ataque DoS sobre un sistema es básicamente un ataque por el cual los recursos de
cómputo del sistema se redirigen por medios externos a tareas que impiden su uso por
los usuarios legítimos.
Estos ataques frecuentemente se realizan mediante la infección previa de otros equipos
en la red sin el conocimiento de sus propietarios de modo que se coordinan para solicitar
el servicio de un determinado sitio web (como ocurre con las botnets).
Las pérdidas de datos por catástrofes naturales pueden parecer a muchas empresas
posibilidades remotas, por lo que en ocasiones tienden a subestimarse. Este tipo de
catástrofes o eventos sobrevenidos son el objeto de los planes de contingencia.
Un ejemplo son los sitios alternativos de proceso, que permiten continuar la operación
Tabla 2. Ejemplo de las diferencias entre políticas, estándares, directrices, procedimientos y líneas base.
NIVELES DE CLASIFICACIÓN
La clasificación suele hacerse en función de una serie de niveles. La siguiente tabla resume
una tipología habitual en los documentos en el entorno del gobierno.
TIPO DEFINICIÓN
SENSIBLE PERO
Información que tiene un impacto menor si se difunde.
NO CLASIFICADA
TIPO DEFINICIÓN
La anterior clasificación tiene que ver con el impacto en la empresa globalmente, pero
hay otra categoría, la de la información personal, cuya difusión está protegida por la ley
dado que afecta a los derechos de los individuos. Por ejemplo, el sueldo de un empleado
o la información médica sobre el mismo.
Además de los criterios de impacto en su difusión que acabamos de ver, la edad de la
información suele ser también un criterio, los documentos de defensa normalmente se
Los controles de seguridad física son tan diversos como las amenazas. Las áreas
fundamentales que deben considerarse pueden resumirse en las que se presentan
a continuación.
CONTROLES ADMINISTRATIVOS
Incluyen todos los procedimientos administrativos (en oposición a los controles
propiamente físicos o técnicos).
Podemos mencionar los siguientes como aspectos fundamentales:
• Planificación de los requisitos de las instalaciones.
• Gestión de la seguridad de las instalaciones.
• Controles administrativos al personal.
¿QUÉ?
Hay que garantizar el acceso, integridad, disponibilidad, autenticidad, confidencialidad,
trazabilidad y conservación de la información de la organización. Tradicionalmente se
considera que la seguridad de la información consta de las siguientes dimensiones de
la seguridad:
¿DÓNDE ?
La información es almacenada, procesada y transmitida por los Sistemas de
Información y Comunicaciones (SIC), por lo tanto, para garantizar la seguridad en todas
sus dimensiones y aspectos es necesario garantizar la seguridad de los Sistemas de
Información y Comunicaciones de forma global.
Un Sistema de Información y Comunicaciones es un conjunto de elementos
interrelacionados, personas, datos/información, procedimientos y recursos técnicos,
dedicados al proceso y gestión de la información que una organización necesita para
alcanzar sus objetivos de negocio.
Hay que proteger todos y cada uno de los elementos que forman parte del Sistema de
Información y Comunicaciones de la organización frente a las amenazas a las que se
¿CÓMO?
Deben contrarrestarse todas las amenazas a las que está expuesta la información de una
organización por medio de la implantación de salvaguardas (controles) que pueden
actuar de alguna de las siguientes maneras:
¿CUÁNDO?
La información hay que protegerla durante todo su ciclo de vida, desde el momento
en el que el dato entra en el sistema, hasta el momento en que deja de ser útil y se
procede a su destrucción, pasando por todas las fases del ciclo de vida de la información,
almacenamiento, proceso, transmisión y utilización.
Por medio del análisis de riesgos, una organización obtiene el conocimiento de a qué
está expuesta, lo que le permitirá identificar los riesgos que le podrían impedir lograr sus
objetivos de negocio, determinando su magnitud e identificando las áreas que requieran
medidas de salvaguarda o controles en función del riesgo detectado.
El análisis de riesgos intenta que los criterios en los que se apoya la seguridad sean más
objetivos, permitiendo a la organización gestionar sus riesgos y tomar decisiones en base
Para lograr cumplir los objetivos marcados, el plan de proyectos debe tener en cuenta
el conocimiento interno de la empresa, los recursos, el presupuesto y la tecnología
disponible.
Los Acuerdos de Nivel de Servicio (Service Level Agreement, SLA) son acuerdos
formales sobre la división de la responsabilidad de los medios de computación entre el
Departamento de Sistemas de Información (DSI) y los usuarios finales. Estos acuerdos
pueden considerarse contratos, y deben abarcar todos los recursos fundamentales de las
tecnologías de la información: hardware, software, personal, datos, redes y procedimientos.
De hecho, los SLA no son específicos de las relaciones de los DSI, sino que se utilizan para
todo tipo de relaciones de provisión de servicios. Se definen de manera general como un
protocolo plasmado normalmente en un documento de carácter legal por el que una
compañía que presta un servicio a otra se compromete a prestar el mismo trabajo bajo
unas determinadas condiciones y con prestaciones mínimas. Se utilizan también con
profusión en contratos de outsourcing.
La fundamental ventaja de un SLA es que las responsabilidades quedan claramente
Donde:
Es el tiempo de disponibilidad del servicio.
Es el tiempo total mensual.
Es el tiempo con pérdida total de conectividad. Este tipo de pérdida será igual
a la que transcurre desde la apertura de la incidencia, hasta el cierre de dicha
incidencia.
En caso de pérdida de disponibilidad real de este nivel de servicio, se aplicarán
las penalizaciones de la siguiente tabla de acuerdo con las condiciones de
penalización generales del contrato.
Tabla 5. Pérdida de disponibilidad real del servicio con base en las condiciones de penalización
generales del contrato.
PENALIZACIONES
99% > D ³ 98% NIVEL A
98% > D ³ 96% NIVEL B
96% > D ³ 90% NIVEL C
D ³ 90% NIVEL D
Cálculo del tiempo de caída: en el cálculo de esta magnitud se establecerá desde que
se ha dado noticia al DSI del problema. El tiempo de incidencia finaliza cuando el DSI
comprueba que dicho servicio se ha restaurado completamente. No se considera tiempo
de caída aquel debido a problemas derivados de un mal uso de la red o una mala
configuración de la red por parte del cliente.
La APMG, o el Grupo APM Group, han sido contratados por la OGC para ser el proveedor
acreditado en los siguientes años. Él definirá el estándar de los exámenes, la provisión de
los exámenes, y entrenadores capacitados, materiales de capacitación y proveedores de
capacitación de ITIL® v3.
El principio fundamental de ITIL es el de recoger todas las prácticas que funcionan. Esta
aproximación se resume en unas características clave que pueden resumirse en las
siguientes:
ITIL abarca prácticas de soporte y de entrega del servicio. La siguiente figura las
esquematiza.
Las prácticas que ITIL recoge tienen unas características comunes cuando se observa
su tipo y cómo las aplican las mejores organizaciones de servicio. Esas características
pueden resumirse en los siguientes puntos:
• Son predictivos en lugar de reactivos. Es decir, se basan en estudiar los
patrones de uso de los clientes o usuarios.
• Son consistentes y medibles. Las mejores prácticas son estables y
proporcionan predictibilidad a los servicios de TI.
• Son adaptables. Por último, las prácticas deben permitir su optimización
y mejora continua.
Tomemos como ejemplo la práctica de la «Gestión de la capacidad». Podemos definirla
cómo la práctica encargada de «asegurar que la infraestructura de TI se proporciona
cuando se necesita, en el volumen necesario y con el precio adecuado, garantizando su
uso eficiente».
Siguiendo el esquema anterior, como toda práctica ITIL, debe ser:
• Predictiva: esto se refleja, por ejemplo, en considerar que un factor
crítico de éxito en esta práctica es proporcionar previsiones de demanda
de TI precisas.
• Consistente: esto se refleja, por ejemplo, en la necesidad de
implementar políticas, procesos y procedimientos de gestión de la
capacidad.
• Medible: esto se refleja en los indicadores recomendados para la
evaluación del servicio. Para esta práctica, entre los KPI (key performance
indicators) tenemos, por ejemplo:
SUBPROCESO OBJETIVOS
Diseñar las medidas técnicas y organizativas
DISEÑO DE
necesarias para asegurar la disponibilidad,
CONTROLES DE
integridad y confidencialidad de recursos y servicios
SEGURIDAD
de información.
GESTIÓN DE
Detectar y combatir los ataques y las intrusiones, y
INCIDENTES DE
minimizar el daño de las brechas de seguridad.
SEGURIDAD
Respecto a los indicadores, la siguiente tabla describe indicadores típicos para este
proceso:
NÚMERO DE INCIDENTES
Número de incidentes, clasificados por
DE SEGURIDAD
severidad
IMPORTANTES
NÚMERO DE CAÍDAS
Número de incidentes que han causado
DEL NIVEL DE SERVICIO
disponibilidad del servicio de limitada o
RELACIONADAS CON LA
interrupción
SEGURIDAD
NÚMERO DE PROBLEMAS
Número de problemas identificados en el
IDENTIFICADOS
transcurso de los test de seguridad
DURANTE LOS TEST
Por ejemplo, en la ISO 27002 se incluye el siguiente control: «Medios físicos en tránsito:
Los medios que contienen información debieran ser protegidos contra accesos no-
autorizados, mal uso o corrupción durante el transporte más allá de los límites físicos de
una organización» (ISO 27002, 2018). Lógicamente, este control solo deberá diseñarse en
caso de que se dé el citado tránsito.
Requisitos generales
La adopción de un sistema de gestión de seguridad de la información es una decisión
estratégica y se diseña e implanta de forma diferente en cada organización. Una
organización debe definir el alcance y los límites del sistema de gestión de seguridad
de la información de acuerdo con las características de la organización, su ubicación,
activos y tecnología.
REQUISITOS DE DOCUMENTACIÓN
La documentación del sistema de gestión de seguridad de la información deberá incluir
la política, alcance y objetivos del SGSI, así como los diferentes procedimientos y
controles de seguridad del sistema.
La documentación será más o menos amplia dependiendo de la organización y de
las diferentes actividades que desarrolle. Por tanto, el alcance y complejidad de los
requerimientos de seguridad variarán en función de estas circunstancias.
La dirección debe aprobar un documento de política de seguridad de la información,
que deberá publicar y comunicar a todos los empleados y entidades externas relevantes.
Se deben aprobar los documentos previamente a su distribución, revisando y actualizando
los documentos según las necesidades requeridas, y siempre que se garantice que los
documentos están periódicamente actualizados.
COMPROMISO DE LA DIRECCIÓN
La Norma ISO 27001 especifica la obligación de suministrar evidencias del compromiso
planteado, tanto en el desarrollo como en la implantación y mejora del sistema, en los
siguientes aspectos:
• En el proceso de comunicación interna al personal de la organización
de la gestión de la seguridad de la información en la empresa.
RESPONSABILIDADES
Las responsabilidades y sus correspondientes autoridades deben estar perfectamente
definidas en cualquier organización o empresa.
La Norma ISO requiere que la alta dirección asegure que se cumplan estos requisitos
y que las responsabilidades sean comunicadas dentro de la organización, valorando el
tamaño, complejidad y cultura de la organización.
Se puede nombrar un representante de la dirección que tendrá la responsabilidad de:
• Asegurar que los procesos del sistema de gestión de seguridad de la
información se implanten y funcionen.
• Informar a la alta dirección sobre el desempeño del sistema y de
cualquier oportunidad de mejora.
4. Modelos de madurez
para la seguridad de la
información
Un modelo de madurez sirve para situar y evaluar el grado de desarrollo de una gestión
sistemática, predecible y optimizable. Estos modelos se han popularizado en el contexto
del desarrollo de software, pero poco a poco han sido adaptados a otros dominios,
Nótese que CMMI no es un proceso de desarrollo de software, sino más bien una guía
que describe las características que hacen efectivo a un proceso. Las ideas que aporta
pueden ser, por tanto, utilizadas como un conjunto de buenas prácticas, como un marco
para la organización y priorización de actividades, o como una forma de alinear los
objetivos de la organización con los objetivos del proceso en estudio.
CMMI se interesa por la mejora de los procedimientos y métodos (procesos) que las
personas de una organización llevan a cabo con ayuda de tecnología y otras herramientas,
ya que, si los procesos no están correctamente definidos, son maduros y ampliamente
conocidos, ni las más cualificadas personas serán capaces de rendir a su mejor nivel aun
disponiendo de las mejores herramientas.
EL MODELO O-ISM3
El Open Group desarrolló un modelo de madurez denominado Open Group Security
Management Maturity Model (O-ISM3), que permite el diseño de sistemas de gestión de
la seguridad alineados con la misión de la organización empresarial y el cumplimiento
de las necesidades.
La nueva norma permite a las organizaciones priorizar y optimizar las inversiones en
seguridad de la información, así como permitir la mejora continua de los sistemas que
utilizan métricas bien definidas.
El modelo se basa en la consideración de tres elementos fundamentales en la seguridad
de la información:
Los programas deben ser comunicados de forma entendible a todos los empleados.
Un programa no es una acción concreta, sino un área de gestión orientada a la
mejora continua. La importancia de la seguridad de la información ha dado lugar a la
profesionalización, materializada en el rol del Responsable de Seguridad de Información
(RSI), CISO (Chief Information Security Officer) o denominación equivalente.
La gestión de la seguridad se materializa en políticas, estándares, líneas base y
procedimientos.
Las preguntas sobre el análisis y gestión del riesgo pueden resumirse en las siguientes:
CONCEPTO FORMULACIÓN
Factor de exposición (exposure Porcentaje de pérdida de valor
factor, FE) de un recurso asociado a una
amenaza
Expectativa de pérdida (single los Valor del recurso multiplicado por FE
expectancy, SLE)
Tasa de ocurrencia anualizada Frecuencia de la ocurrencia de la
(annualized rate of occurency, amenaza anual
ARO)
Expectativa de pérdida anual SLE*ARO
(annualized los expectancy, ALO)
En la política anterior podemos apreciar una estructura general que suele darse de
manera explícita o implícita:
Dependiendo del alcance y los objetivos de la gestión del riesgo, se pueden aplicar
diferentes enfoques y este, a su vez, puede ser diferente para cada iteración.
Debe seleccionarse o desarrollarse un enfoque de gestión del riesgo adecuado que
aborde criterios básicos tales como:
• Criterios de evaluación de riesgos.
• Criterios de impacto.
• Criterios de aceptación de riesgos.
Además, la organización debe evaluar si dispone de los recursos necesarios para:
• Realizar la evaluación de riesgos y establecer un plan de tratamiento de
riesgos.
• Definir e implementar políticas y procedimientos, incluyendo la
implementación de los controles seleccionados.
• Monitorizar los controles.
• Supervisar el proceso de gestión del riesgo de seguridad de la
información.
La evaluación de riesgos es un proceso holístico que forma parte del proceso de gestión
de riesgos de la organización.
De acuerdo con la NIST Special Publication 800-39, los procesos de gestión de riesgos
incluyen (National Institute of Standards and Technology, 2011):
EVALUACIÓN DE RIESGOS
Profundizando en el componente de Evaluación de riesgos, la NIST SP 800-30 Rev.1
proporciona un modelo de proceso metódico para la evaluación de riesgos con los
siguientes pasos:
Las evaluaciones de riesgos contemplan los posibles riesgos para las operaciones y
los activos de la organización, derivados de la operación y el uso de los sistemas de
información y de la información que procesan, almacenan y transmiten.
Las evaluaciones de riesgos dan soporte a una amplia variedad de decisiones y
actividades basadas en riesgos por parte la organización, entre las que se incluyen:
• Desarrollo de una arquitectura de seguridad de la información.
• Definición de los requisitos de interconexión para los sistemas de
información.
• Diseño de soluciones de seguridad para sistemas de información y
entornos de operación.
• Autorización para operar sistemas de información.
• Implementación de soluciones de seguridad.
• Operación y mantenimiento de soluciones de seguridad.
6. Seguridad en redes.
Identificación de amenazas y
vectores de ataque
6.1. Aspectos avanzados de TCP/IP
ATAQUES PASIVOS
Un ataque pasivo es aquel en el cual un atacante monitorea de forma no autorizada
el tráfico de la red para capturar contraseñas u otra información para su uso posterior.
Principalmente hay dos tipos de ataques pasivos: la obtención de contenidos de mensajes
y el análisis de tráfico.
La obtención de contenidos de mensajes (Ilustración 157) se entiende como la obtención
de información procedente de una comunicación (conversación telefónica, envío de
correo electrónico, envío de fichero, etc.) y que puede contener información sensible que
no debe ser revelada a entidades no autorizadas.
ATAQUES ACTIVOS
En un ataque activo, el intruso interfiere con el tráfico legítimo que fluye a través de la
red interactuando de manera engañosa con el protocolo de comunicación.
Principalmente hay cuatro tipos de ataques activos: suplantación de identidad, repetición,
modificación de mensajes y denegación de Servicio.
La suplantación de identidad (Ilustración 159) se da cuando una entidad se hace pasar
por otra. Normalmente, para llevar a cabo este tipo de ataque es necesario utilizar
previamente algún otro tipo de ataque activo (como podría ser un ataque de repetición)
que permita al atacante obtener los privilegios necesarios para acceder a un sistema,
fingiendo ser una entidad que realmente los posee.
La prevención de ataques activos es muy difícil. Por este motivo, para mitigar este tipo
de ataques las medidas preventivas se combinan con herramientas y mecanismos que
permiten su detección o recuperación en caso de llegar materializarse el ataque.
En el vídeo, La seguridad en distintas capas de red, se presentan algunos ejemplos
que clarifican la diferencia existente entre aplicar seguridad en distintas capas de la
arquitectura TCP/IP. Por ejemplo, se muestra la diferencia entre securizar una comunicación
a nivel físico o a nivel de transporte.
SERVICIOS DE SEGURIDAD
En la recomendación X.800 se describe un servicio de seguridad como un servicio
proporcionado por una capa de sistemas abiertos comunicantes, que garantiza la
seguridad adecuada de los sistemas y de la transferencia de datos. Estos servicios se
dividen en cinco categorías y catorce servicios específicos.
AUTENTICACIÓN
El servicio de autenticación se encarga de confirmar que la identidad de una o más
entidades conectadas a una o más entidades sea verdadera. De igual forma, corrobora
a una entidad que la información recibida proviene de otra entidad verdadera.
CONTROL DE ACCESO
Protege a una entidad contra el uso no autorizado de sus recursos. Para ello, previamente
cualquier entidad que intente acceder a un recurso debe identificarse y ser autenticada
de forma que los derechos de acceso puedan aplicarse de manera particular.
CONFIDENCIALIDAD
La confidencialidad se entiende como la protección de una entidad contra la revelación
deliberada o accidental de cualquier conjunto de datos a entidades no autorizadas.
Existen enfoques más específicos de este servicio, como la protección de un solo mensaje
o de determinados campos de los mensajes. También es importante la protección de los
datos frente al análisis de tráfico: campos como el origen, destino, frecuencia o longitud no
deberían ser características visibles del tráfico en una comunicación. Dentro del servicio
de confidencialidad se definen los siguientes tipos de servicios específicos:
NO REPUDIO
Este servicio asegura que los extremos de una comunicación no puedan negar
falsamente haber enviado o recibido un mensaje. Dentro de este servicio se definen dos
tipos de servicios específicos:
• No repudio en origen: proporciona al receptor de los datos una prueba
del origen de estos, de modo que el emisor no pueda negar haberlos
enviados.
• No repudio en destino: proporciona al emisor de los datos una prueba
de la recepción de estos, de modo que el receptor no pueda negar
haberlos recibido.
DISPONIBILIDAD
La disponibilidad se define como la propiedad que tiene un sistema o recurso de un
sistema de estar accesible y utilizable a petición de una entidad autorizada, según las
especificaciones de rendimiento del sistema.
AUTENTICACIÓN
DE LAS ENTIDADES X
ORIGEN/DESTINO
AUTENTICACIÓN DEL
ORIGEN DE LOS DATOS X
CONTROL DE ACCESO X
CONFIDENCIALIDAD X
CONFIDENCIALIDAD
DEL FLUJO DE TRÁFICO X
INTEGRIDAD DE LOS
DATOS X X
NO REPUDIO
DISPONIBILIDAD X
MECANISMOS DE SEGURIDAD
Son los mecanismos implementados para proveer los servicios de seguridad necesarios.
Su finalidad es reforzar la seguridad de un sistema permitiendo prevenir, detectar o
recuperarse frente a ataques de seguridad. Los mecanismos de seguridad se dividen
en dos categorías: mecanismos específicos de seguridad y mecanismos generales de
seguridad.
AUTENTICACIÓN
DE LAS ENTIDADES X X X
ORIGEN/DESTINO
AUTENTICACIÓN
DEL ORIGEN DE LOS X
DATOS
CONTROL DE
ACCESO X
CONFIDENCIALIDAD X X
CONFIDENCIALIDAD
DEL FLUJO DE X X X X
TRÁFICO
INTEGRIDAD DE LOS
DATOS X X X
NO REPUDIO X X
DISPONIBILIDAD X X
De cara a hacer frente a este tipo de ataques, existen dos categorías de mecanismos de
seguridad que permiten hacer frente a accesos no deseados:
IDENTIFICACIÓN DE RIESGOS DE TI
La identificación del riesgo de TI es el proceso que tiene por objeto detectar, identificar y
registrar los riesgos a los que está expuesta la información y los sistemas de información
y comunicaciones de la organización.
Si consideramos el riesgo como el efecto sobre los objetivos de la incertidumbre existente
y tenemos en cuenta que el efecto supone una desviación sobre los previstos y que dicho
Podemos decir, que las amenazas se materializan aprovechando las oportunidades que
brindan las vulnerabilidades, cuando más vulnerable sea un sistema más probable es
que una amenaza se materialice, que un atacante tenga éxito.
La recopilación de datos debe ser realizada con el mayor número posible de fuentes: de
la literatura científica, de los medios de comunicación, de la información proporcionada
por los órganos reguladores, de los datos de negocio, de la vigilancia y supervisión de las
redes y sistemas y de la opinión de expertos (miembros de paneles, redes de contactos,
grupos de interés...).
Los datos obtenidos deben ser filtrados y analizados para detectar señales e indicios de
posibles nuevos riesgos.
Por último, el intercambio de información con otras organizaciones y partes interesadas es
imprescindible para una detección temprana de los riesgos emergentes y una respuesta
eficaz a los mismos.
A la hora de identificar los riesgos, entre otras, se pueden utilizar las siguientes técnicas:
• Tormenta de ideas.
• Entrevistas estructuradas o semiestructuradas.
• Delphi.
• Listas de verificación.
• Análisis preliminar de peligros.
• Estudios de peligros y de operatividad (HAZOP).
• Análisis de peligros y puntos de control críticos (HACCP).
• Apreciación de riesgos ambientales.
• Estructura «y si...» (SWIFT).
• Análisis de escenarios.
• Análisis de los modos de fallo y de los efectos.
• Análisis de causa-y-efecto.
• Análisis de fiabilidad humana.
• Mantenimiento centrado en la fiabilidad.
• Matriz de consecuencia/probabilidad.
Cuando se realiza un análisis de riesgos en TI hay que llevar a cabo una estimación
de toda la gama de los posibles impactos que se podrían derivar de un evento, de la
materialización de una amenaza, así como de las probabilidades de ocurrencia tanto
del evento como de cada uno de los posibles impactos. Sin embargo, en algunas
circunstancias, podemos estimar probabilidades muy bajas, lo que nos podría llevar a
desestimar algunos riesgos por insignificantes, aunque su impacto fuese alto. En estos
casos debería tener mayor peso el impacto que la probabilidad en el cálculo del valor del
riesgo y en la toma de decisiones asociada al tratamiento de estos riesgos insignificantes.
En ocasiones, una consecuencia o un impacto puede ser el resultado de diferentes
eventos, de diferentes circunstancias, de diferentes materializaciones de amenazas o
de un suceso no identificado. En este caso, de indeterminación del origen, a la hora de
analizar los riesgos en TI hay que centrarse en analizar la criticidad y la vulnerabilidad
de los activos, de los componentes del sistema, para, con base en ellos,estimar el valor
Para realizar un análisis cuantitativo es necesario estimar valores reales para las
consecuencias y sus probabilidades, para poder obtener valores del nivel de riesgo en
unidades específicas, generalmente económicas, que se deben establecer al inicio del
proceso de gestión del riesgo en el momento en el que establece el contexto.
En ocasiones no es posible o deseable realizar un análisis cuantitativo completo ya sea
debido a que no se dispone de suficiente información acerca del sistema o actividad
que se está analizando. Esto puede ser debido, tanto a que no está garantizado que se
pueda obtener un resultado válido del análisis cuantitativo como a la falta de datos, a
la influencia de factores humanos u otro tipo de factores. En este caso, puede ser más
efectiva una valoración semicuantitativa o cualitativa de los riesgos llevada a cabo por
personas con conocimientos específicos de los riesgos y activos objeto del análisis.
Cuando se utilicen métodos de análisis cualitativos o semicuantitativos, al inicio del
proceso de gestión del riesgo, en el momento en el que establece el contexto del proceso
de gestión del se deben establecer y registrar las bases y criterios utilizados para la
Los niveles de riesgo se deben definir, calcular y comunicar en los términos más adecuados
para cada tipo de riesgo en cuestión, en un lenguaje entendible por el negocio, de forma
que sea una ayuda efectiva a hora de la toma de decisiones. Una forma de hacerlo es
establecer la magnitud de un riesgo como una distribución de probabilidad sobre un
conjunto de impactos.
Para defenderse de esta vulnerabilidad, en primer lugar, hay que asegurarse de tener
instalada la última versión del software en el servidor web y de que se hayan aplicado
todos los parches.
En segundo lugar, validar de forma efectiva cualquier entrada de usuario. Lo ideal sería
eliminar todo (p.e...//), menos los datos buenos conocidos, y validar los metacarácteres
de la entrada del usuario. Esto asegurará que solo será enviado al servidor lo que se
introduzca en el campo.
Try
La información que mostrar a los usuarios debe filtrarse para no incluir aquella que sea
sensible y pueda beneficiar a un atacante.
A3:2021: INYECCIÓN
Algunas de las principales vulnerabilidades que caen en esta categoría son:
XSS CWE 79
Se pueden dar varios tipos de XSS: reflejado, persistente y basado en DOM
(Document Object Model):
XSS reflejado (o no persistente)
Por ejemplo:
http://www.example.com/userdashboard.html?context=Mary es un
tablero personalizado para Mary. Contiene la cadena del tablero
principal para Mary en la parte superior. Así es como se puede realizar
un ataque XSS basado en DOM para esta aplicación web:
El atacante incrusta un script malicioso en la URL: http://www.
example.com/userdashboard.html#context=<script>SomeF
unction(somevariable)</script>.
El navegador de la víctima recibe esta URL, envía una petición HTTP a
http://www.example.com y recibe la página HTML estática.
El navegador comienza a construir el DOM de la página y llena la
propiedad document.URL con la URL del paso 1.
El navegador analiza la página HTML, alcanza el script y lo ejecuta,
extrayendo el contenido malicioso de la propiedad document.URL.
El navegador actualiza el cuerpo HTML en bruto de
la página a contener: Dashboard principal para
<script>SomeFunction(somevariable)</script>.
El navegador encuentra el código JavaScript en el cuerpo HTML y lo
ejecuta.
Mediante la inyección SQL un atacante podría realizar entre otras cosas las siguientes
acciones contra el sistema:
• Permitir a un usuario modificar consultas y acceder a registros u objetos
de la base de datos a los que inicialmente no tenía acceso por su nivel de
privilegios o por no tener cuenta de usuario para acceder al sistema.
• Elevación de privilegios: todos los sistemas de autenticación que utilicen
credenciales almacenadas en gestores de bases de datos hacen que una
vulnerabilidad de inyección SQL pueda permitir a un atacante acceder a los
Ilustración 50 Ejemplo de consulta SQL construida con el uso de sentencias parametrizadas. Fuente: Chess y
west, 2007.
En este caso se llega hasta el número seis, pero hay ocasiones en las que puede superar
los setenta. Cuando el error ya no esté se volverá a mostrar la página y, curiosamente,
contendrá uno o más números en el banner de la web. Esos números son relativos a
tablas y se puede afirmar que la web es vulnerable a SQLi. Seguidamente se debe elegir
uno de los números, se puede seleccionar el cinco, por ejemplo, (o usar cualquiera) para
que me muestre los nombres de las tablas en su lugar. Lo que sigue ahora es agregar,
después del último número de la url, el siguiente código:
+from+information_schema.tables— (Mysql) y reemplazar el número
5 (que fue el número que apareció en el cuerpo de la página) por
table_name.
h t t p : / / s i t i o . c o m / n o t i c i a s . p h p ? i d = -
1+UNION+SELECT+1,2,3,4,tablename,6+from+information_schema.
table s¬
1+UNION+SELECT+1,2,3,4,%2520tablename,6+from+information_
schem a.tables+limit+3,1%25E2%2580%2594
Las que sirven son las columnas de login y password, así que ahora se reemplazan en la
inyección lo siguiente:
group_concat(column_name) por concat(Login,0x3a, Password)
Concat significa concatenar, algo similar que unir. Y el 0x3a son dos
puntos. Esto es para que el usuario y la contraseña no aparezcan
juntas, sino que los separe los dos puntos. Teniendo como resultado
algo así:
Usuario: contraseña.
¿Se obtiene la misma página? Sí: parece que inyección ejecutada (true).
http://example.com/ex.php?id=25 AND 1=0
DEFENSA SQLI
Para la defensa ante SQLI ha de efectuarse validación de entrada y utilizar consultas
parametrizadas que incorporan los lenguajes de desarrollo utilizando conceptos de
desarrollo seguro, validando los campos de entrada a la aplicación asociada a la base
de datos y escapando cualquier carácter que pueda incurrir en SQLI.
Los fabricantes, proyectos como OWASP (Owasp cheat sheets), WASC, etc., ofrecen
mejores prácticas para el desarrollo seguro y dan recomendaciones claras y precisas
para evitar la inyección de código. ESAPI es una colección gratis y abierta de código
de implementación de funciones de seguridad y de validación de entradas, que un
desarrollador necesita para construir una aplicación web segura.
Se pueden usar solo las interfases y construir su propia implementación utilizando la
infraestructura de su compañía y se puede usar la implementación de referencia como
un punto de inicio. En concepto, la API es independiente del lenguaje. Los primeros
entregables del proyecto son una API Java y una referencia de implementación Java.
Existen versiones ESAPI en.NET, PHP, PYTHON, COLD FUSION y NODEJS.
Los atacantes intentan realizar ingeniera inversa y extraer información de las aplicaciones
sobre la base de los mensajes o tratamientos de error. Es importante que se controlen
absolutamente todas las posibilidades que puedan generar error en cualquier
Otras vulnerabilidades similares de la categoría de inyección son LDAP injection (CWE 90),
que permite inyección de código en directorios LDAP o Command Injection (CWE 78), que
permite ejecución de comandos en el servidor de aplicaciones.
Este código utiliza la función Random.nextInt() para generar identificadores «únicos» para
las páginas de recibos que genera. Debido a que Random.nextInt() es un PRNG estadístico,
es fácil para un atacante adivinar las cadenas que genera. Aunque el diseño subyacente
del sistema de recibos también es defectuoso, sería más seguro si utilizara un generador
de números aleatorios que no produjera identificadores de recibos predecibles, como
un PRNG criptográfico. Si un atacante puede adivinar (o sabe) la semilla (CWE 336),
entonces puede ser capaz de determinar los números aleatorios que se producirán a
partir del PRNG.
Si se utiliza un hash criptográfico unidireccional contra una entrada que no debería
ser reversible, como una contraseña, pero el software no utiliza una salt (prefifo o sufijo
aleatorio) como parte de la entrada (CWE 759). Esto facilita a los atacantes el precálculo
del valor de hash usando técnicas de ataque de diccionario como las rainbow tables.
Cualquier vulnerabilidad pública conocida CVE para la que exista un parche y este no
se aplique es una posibilidad clara de ataque, ya que como se menciona, es publica
y los atacantes pueden relacionarlas con las versiones de los navegadores, servidores
de aplicaciones y gestores de bases de datos que se están usando. Cualquier software
que se instala en cualquier capa de la aplicación, debe investigarse para comprobar
en Internet las vulnerabilidades públicas conocidas CVE relativas y descargar el parche
correspondiente si lo hubiera.
Por ejemplo, se puede consultar en tiempo real las vulnerabilidades actuales del marco
Las vulnerabilidades CWE 256, 257 se refieren a almacenar las contraseñas en texto
claro o en un formato recuperable como BASE64 o similar, se deben almacenar el HASH
Los ataques de entidades externas de XML se benefician de una de sus funciones para
crear documentos de forma dinámica en el momento de procesamiento. Una entidad XML
permite la inclusión de datos de forma dinámica desde un recurso dado. Las entidades
externas permiten a un documento XML incluir datos desde un URI externo. A menos que
se configure de otra forma, las entidades externas fuerzan al analizador de XML a acceder
al recurso que especifica el URI, como por ejemplo un archivo del equipo local o de un
sistema remoto.
Este comportamiento expone la aplicación a ataques de entidades externas (XXE) de XML,
los cuales se pueden utilizar para llevar a cabo una denegación de servicio del sistema
local, obtener acceso no autorizado a archivos del equipo local, explorar equipos remotos
y denegar el servicio de sistemas remotos. A continuación, en la Figura 16, se muestra un
ejemplo de un ataque XXE:
Esta vulnerabilidad es una de las más actuales, debido al consumo de servicios que
realizan las apps de celulares (IOS, Android) y las webs más modernas (Vue.js, Node.js,
laravel, ruby on rails).
RECOMENDACIONES
• Debe realizarse un parseo validado del formato del serializado antes de
deserializar.
• Integrar firmas digitales a los objetos serializados con el fin de detectar
modificación no autorizada.
• Aislar el código que realiza la deserialización, de modo que se ejecute en un
entorno con los mínimos privilegios posibles, en este caso, el atacante no
podría tener muchos privilegios si ingresa al servidor.
• Monitorizar las conexiones de red entrantes y salientes desde contenedores o
servidores que utilicen funcionalidades de deserialización.
Lo anterior es un ataque CSRF usando una petición HTTP GET. Si la víctima visita una
página web controlada por el atacante con la siguiente carga útil, el navegador enviará
una solicitud, que contiene la cookie, a la URL creada por el atacante. Las solicitudes GET,
sin embargo, no son el único método HTTP que puede utilizar un atacante.
Ilustración 9 CSRF
SameSite=strict
La cookie solo se envía si estás actualmente en el sitio para el que se ha establecido. Si
estás en otro sitio y haces clic en un enlace a un sitio para el que se ha establecido la
cookie, esta no se envía con la primera solicitud.
SameSite=Lax
L a cookie no se envía por el contenido incrustado, lo hará si se hace clic en un enlace a
un sitio para el que se ha establecido dicha cookie. Se envía solo con tipos de solicitud
seguros que no cambian de estado, por ejemplo, GET.
La OWASP testing guide 4.1 es una guía fundamental que se puede usar para llevar a cabo
cada uno de los distintos tipos de análisis y actividades de seguridad que marca el ciclo
de vida de desarrollo seguro de software (SSDLC) para analizar cada parte o capa de la
aplicación web. Este enfoque iterativo en el marco del SSDLC, requiere la correlación de
los resultados de detección de vulnerabilidades de todos los tipos de análisis.
Se dispone de herramientas del tipo de caja blanca de análisis estático que analizan e l
código fuente y el ejecutable, según sea el caso. La diferencia entre ellas básicamente se
encuentra en que las de código ejecutable tienen primero que hacer un desensamblado
para extraer el código fuente y, posteriormente, actúan como el otro tipo de herramientas
estáticas de código fuente, es decir, tienen una etapa previa de conversión de código
ejecutable en el código fuente correspondiente.
Por tanto, las consideraciones y el análisis de las de código fuente servirán también
para las de código ejecutable y solo se comentarán para estas las particularidades y
problemas que tiene la etapa previa de desensamblado para obtener el código fuente a
partir del código ejecutable.
Como menciona Livshits (2006), las herramientas de tipo SAST toman como entrada el
código fuente y lo trasforman partiendo de las representaciones intermedias (árbol de
análisis sintáctico) resultantes de la fase compilación a un modelo del código fuente
y, a continuación, lo analizan contra una serie de reglas definidas en las herramientas
para generar los informes de error correspondientes. Este conjunto de reglas se puede
aumentar en muchos casos por parte del usuario que puede definir las suyas propias
para adaptarlas a las particularidades de la aplicación que se está analizando. Un
ejemplo de lenguaje de especificación de reglas es PQL (program query language) para
la definición de defectos de seguridad para lenguaje Java.
Este tipo de herramientas parten con un problema debido a que el hecho de determinar
si un programa alcanza su estado final o no es un problema indecidible (Sipser, 2006). En
este contexto, un falso positivo es un problema descubierto en un programa cuando en
realidad no existe ninguno. La noción de utilizar un algoritmo para analizar otro es parte
de los orígenes de la computación.
A pesar de este problema, tal y como dice McGraw (2006), estas herramientas son
consideradas como una actividad muy importante de seguridad dentro de un SSDLC como
también se desprende de las estadísticas de vulnerabilidades referidas anteriormente y
contenidas en el informe de seguridad, volumen 9 de Veracode.
Un análisis valioso debe ser lo más imparcial posible. Examinar el código totalmente
y a fondo supone una buena realimentación en el conocimiento de la aplicación
ahondando más en el conocimiento de la seguridad de la aplicación.
Examinando el código en sí mismo, las herramientas de análisis estático pueden indicar la
causa de origen de un problema de seguridad y no solamente uno de sus síntomas. Esto es
importante para asegurarse de que las vulnerabilidades son corregidas correctamente.
El análisis estático puede encontrar errores tempranamente en la fase de implementación
y desarrollo antes de que el programa sea ejecutado por primera vez. El encuentro de
un error de este tipo no solo reduce el coste de arreglarlo, sino que además un ciclo de
realimentación rápido puede ayudar a dirigir el trabajo de un programador. Este tiene la
oportunidad de corregir errores de los que antes no era consciente. Los escenarios de
ataque y la información sobre el código usados por una herramienta de análisis estático
actúan como medio de transferencia de conocimiento.
Se ha comentado el problema que tienen en cuanto al reporte de falsos positivos. Esto
se puede arreglar en gran medida mediante una auditoría posterior, para lo cual la
información de trace que proporcionan las herramientas en muchos de los casos hace
que esta tarea no sea tan complicada a la vez que aporta para la persona que la realiza
una realimentación de conocimiento de la aplicación en su totalidad. La clasificación
por grado de criticidad de las vulnerabilidades reportadas también supone una ayuda
para esta auditoría posterior.
Los falsos positivos son seguramente indeseables, pero desde una perspectiva de
seguridad, los falsos negativos (defecto no descubierto) son mucho peores. Con un
falso negativo, un problema existe en el programa, pero la herramienta no lo detecta.
Según Stuttard (2008), la penitencia por un falso positivo es la cantidad de tiempo gastada
repasando el resultado. La penitencia por un falso negativo es mucho mayor. No solo se
paga el precio asociado por tener una vulnerabilidad en el código, se vive con un sentido
falso de seguridad que se deriva del hecho de que la herramienta hizo parecer que todo
era correcto. Todas las herramientas de análisis estático de código producen algunos
falsos positivos o falsos negativos. La mayoría de ellas producen ambos. El balance
que una herramienta efectúa entre falsos positivos y falsos negativos es normalmente
indicativo del propósito de la herramienta.
Las herramientas SAST, por lo general, intentan producir un número bajo de falsos positivos
y están más dispuestas a aceptar falsos negativos. La penitencia por las vulnerabilidades
ARQUITECTURA
Las herramientas estáticas cogen como entrada el código fuente y lo trasforman
generando representaciones intermedias o modelos del código fuente según el caso y,
a continuación, lo analizan contra una serie de reglas definidas en las herramientas, las
cuales pueden realizar algunos o todos estos análisis:
Estas herramientas tienen un paso previo dedesensamblado del código ejecutable. Una
vez obtenido, analizan el código fuente conseguido de la misma forma que las comentadas
anteriormente y, por tanto, se van a tratar principalmente las particularidades que tiene
el desensamblaje del código ejecutable como paso previo al análisis.
Estas aproximaciones analizan directamente el código máquina a partir de su
simplificación para construir un diagrama de control de flujo y de llamadas.
En lo referente a aplicaciones web existen varias implementaciones comerciales para
diversos lenguajes y plataformas como el servicio SaaS (software as a service) on demand
de la empresa Veracode. Sus servicios están disponibles para J2EE, C/C++,.NET, C#, PHP,
Coldfusion. FindSecuritybugs es una herramienta de este tipo de open source disponible
para lenguaje Java.
Ilustración 15 Dinámica de un escáner automático de vulnerabilidades. Fuente: adaptado de Souppaya y Scarfone, 2008.
Las herramientas IAST tienen parte de SAST y parte de DAST, pero solo conceptualmente,
ya que el funcionamiento es diferente. Una vez la herramienta detecta una vulnerabilidad,
la aplicación realiza acciones en tiempo real, según Bermejo (2014):
• Se ejecuta en el servidor y obtiene los resultados del comportamiento que
genera el usuario final sobre la aplicación publicada.
• Permiten la sanitización de las entradas, haciendo que la información que
llega desde la parte cliente sea limpia, eliminando las posibles inyecciones o
ejecuciones remotas.
• Emite alertas a los desarrolladores y administradores para que puedan
corregirlas lo antes posibles.
• La correlación de datos entre herramientas SAST e IAST suele ser más precisa
8. Herramientas de
seguridad: IDS/IPS- DLP.
PROXY y SIEM
8.1. Sistemas de detección y prevención de intrusos
Debido a la gran interconexión de redes que existe a través de Internet, las redes internas
de las organizaciones se encuentran cada vez más expuestas a posibles ataques. Es
por ello por lo que no es suficiente con asegurar el perímetro de una red, utilizando los
mecanismos, sino que también es necesario el uso de otros mecanismos de seguridad.
Según Gartner (McMillan, 2013), el análisis inteligente de amenazas es un conocimiento
basado en la evidencia que incluye el contexto, mecanismos, indicadores e implicaciones
sobre una amenaza existente o reciente. Este conocimiento puede ser utilizado para
tomar decisiones informadas respecto a la respuesta ante esta amenaza.
En este sentido, el mejor (y primer) complemento a la seguridad perimetral en el análisis
inteligente de amenazas son los mecanismos de detección de intrusiones.
Un sistema de detección de intrusiones (IDS) permite detectar actividades incorrectas,
inapropiadas o anómalas en un sistema. Los sistemas de detección de intrusiones pueden
trabajar en conjunto con un cortafuegos para incrementar el nivel de seguridad, dando
lugar a los sistemas de prevención de intrusiones (IPS).
Los IPS ofrecen nuevas funcionalidades con respecto a los IDS ya que, además de permitir
la detección de ataques, son capaces de prevenirlos.
Los IPS suelen desplegarse en modo en línea (on-line mode), utilizando la arquitectura
descrita en la Ilustración 189. El propio IPS se sitúa como un puente entre la red a proteger y
el resto. Dispone de al menos tres interfaces de red: una para recibir tráfico del exterior, otra
para redirigir el tráfico a la red interna y el último para tareas de gestión y administración.
Esta arquitectura hace posible tener un control total sobre el tráfico que atraviesa la
red. Para que un sistema IPS sea efectivo debe actualizarse periódicamente. Se muestran
a continuación algunos ejemplos de dispositivos, además del ya comentado IDS +
Cortafuegos, que ofrecen funcionalidades de IPS.
CONMUTADOR HÍBRIDO
Estos dispositivos pueden ser considerados un híbrido entre los switches de nivel de
aplicación y los IPS de host a nivel aplicación, ya que se instalan de la misma manera
que los primeros, pero funcionan a través de la definición de políticas de seguridad como
los segundos. Tiene conocimiento tanto del tipo de servidor que protege como de las
aplicaciones concretas que estás corriendo sobre ellos.
Estos dispositivos tienen la ventaja de que pueden ser configurados mediante la
importación de datos obtenidos mediante un escáner de vulnerabilidades ejecutado
sobre el sistema a proteger. Puede utilizarse en conjunto con un switch de nivel de
aplicación que le redirija únicamente el tráfico que considere malicioso para reducir la
carga de trabajo.
TIPOS DE HONEYPOTS
Según la capacidad de interactuar con el atacante que presenten los honeypots, se
pueden distinguir los siguientes tipos:
HONEYPOT
Honeypot es un sistema cuyo objetivo es atraer atacantes simulando ser un sistema
débil o vulnerable a ataques. Estos sistemas están diseñados para captar la atención
del atacante y así poder recopilar información sobre sus métodos y actividades. Para
que el sistema sea efectivo, el atacante no debe notar en ningún momento que está
siendo engañado o monitorizado. Los Honeypots suele situarse detrás de un cortafuegos,
aunque también es posible situarlos delante.
Ilustración 19 Honeypot
Estos sistemas no registran un gran número de datos, pero los que se registran tienen un
gran valor. Son sistemas bastante simples que pueden ser de gran ayuda al administrador
de la red. Por otro lado, si un atacante logra acceder con éxito a un honeypot, podrá
utilizarlo como medio para acceder al resto de sistemas de la red a la que pertenezca.
HONEYNET
Una honeynet es un tipo especial de honeypots que consiste en una red entera diseñada
para ser atacada y recabar más información sobre posibles atacantes. A diferencia
de los honeypots, donde los servicios son emulados, en las honeynets se usan equipos
reales (físicos o virtuales) con sistemas operativos reales y con aplicaciones reales. Las
honeynets se usan principalmente para la investigación de nuevas técnicas de ataque
y para comprobar el modus operandi de los intrusos.
Las honeynets ayudan a descubrir nuevos tipos de ataques y permiten mejorar los
motores de los sistemas de detección de intrusiones, así como la incorporación de nuevos
patrones de ataque. Los sistemas atacados para extraer la información no son sistemas
reales, por lo que no existe riesgo.
La principal desventaja de estos sistemas es que es necesario tener un nivel alto de
conocimientos y experiencia en redes y seguridad para poder instalar una honeynet de
utilidad.
Los sistemas padded cell permiten conocer la forma en la que actúan los atacantes
potenciales, facilitando la tarea de proteger la red al administrador.
La principal desventaja de estos sistemas es que el administrador debe tener un nivel
alto de conocimientos y experiencia en redes y seguridad para poder instalar el sistema.
En el vídeo, Sistemas trampa en funcionamiento, se muestran ejemplos de uso de sistemas
trampa de los tres tipos: alta, baja y media interacción.
Para cada archivo de log Snort añade un sello temporal (timestamp) al nombre de
archivo.
Al finalizar la captura se muestra un resumen de estadísticas similar al mostrado en la
Figura 8.
Los proxies se colocan como intermediarios entre dos redes, de forma que el tráfico que
se intercambia entre ellas debe circular a través de este.
1. Recolección de datos. Las agentes que han sido desplegados se encargan de enviar
la información al servidor central para un análisis. Estos datos son almacenados y
protegidos contra modificaciones no autorizadas.
2. Correlación de eventos. El servidor analiza los logs que va recibiendo de las
diferentes fuentes para identificar las relaciones entre ellos. De esta forma, pasamos
de una cantidad enorme de datos en bruto a un conjunto de datos que pueden
ser analizados de una forma más sencilla.
3. Lanzar alertas. Si una vez correlacionados los eventos, se detecta que se trata de
un ataque, se debe lanzar una alerta para que el usuario pueda llevar a cabo las
acciones oportunas.
7. Añadiremos la línea:
acl password proxy_auth REQUIRED
8. También buscaremos el texto parecido a:
# Example rule allowing access from your local networks.
# Adapt localnet in the ACL section to list your (internal) IP networks
# from where browsing should be allowed
http_access allow localhost
http_access deny all
Para que quede así:
# Example rule allowing access from your local networks.
# Adapt localnet in the ACL section to list your (internal) IP networks
# from where browsing should be allowed
http_access allow localnet password
http_access allow localhost
http_access deny all
9. Finalmente, aplicaremos cambios con el comando:
# service squid reload
Squid también soporta autenticación a través de LDAP. Para practicar, se puede instalar
OpenLDAP y definir usuarios, aunque no cubriremos los servidores LDAP en este temario.
Añade la siguiente línea al archivo /etc/squid/squid.conf con la configuración de nuestro
LDAP:
auth_param basic program /usr/lib/squid/squid_ldap_auth –b
“ou=Usuarios,dc=xxx,dc=zzzz” 127.0.0.1
Sustituye el valor «ou=Usuarios,dc=xxx,dc=zzzz» por el valor real del directorio y el valor
127.0.0.1 por el valor real de la IP de tu servidor de LDAP.
Lo configurado hasta ahora con la nueva línea tendría un aspecto parecido a este:
# Recommended minimum configuration:
acl all src all
acl manager proto cache_object
acl localhost src 127.0.0.1/32
acl to_localnet dst 127.0.0.1/8 0.0.0.0/32
acl password proxy_auth REQUIRED
acl restric-exp-reg url_regex “/etc/squid/restric-exp-reg”
4. Aplicaremos las restricciones que hemos identificado. Para esto, seguiremos
modificando el archivo /etc/squid/squid.conf. Modificaremos la regla anteriormente
creada para que se muestre como en la siguiente línea:
http_access allow localnet password !restric-exp-reg
5. Terminaremos aplicando los cambios en el archivo /etc/squid/squid.conf con el
siguiente comando:
Es posible que las restricciones de acceso anteriores no dejen acceso a páginas que
consideramos válidas. Por esto podremos elegir una serie de dominios permitidos. Estos
Lo configurado hasta ahora, con la nueva línea, tendría un aspecto parecido a este:
#
# Recommended minimum configuration:
acl all src all
acl manager proto cache_object
acl localhost src 127.0.0.1/32
acl to_localnet dst 127.0.0.1/8 0.0.0.0/32
acl password proxy_auth REQUIRED
acl restric-exp-reg url_regex “/etc/squid/restric-exp-reg”
acl restric-dominios dstdomain “/etc/squid/restric-dominios”
acl permit-dominios dstdomain “/etc/squid/permit-dominios”
4. Aplicaremos las restricciones que hemos identificado. Para esto, seguiremos
modificando el archivo /etc/squid/squid.conf. Añadiremos la siguiente línea:
http_access allow all permit-dominios
5. Terminaremos aplicando los cambios en el archivo /etc/squid/squid.conf con el
siguiente comando:
# service squid reload
#
# Recommended minimum configuration:
2. Crearemos un archivo donde vayamos a poner las direcciones MAC a las que
aplicaremos la regla.
# nano /etc/squid/permit-mac-direcciones
Tendremos que editar su contenido con las direcciones MAC para las que queremos
aplicar la regla.
00:14:22:41:9C:8A
00:04:DC:84:18:AD
00:40:96:AA:2D:BB
00:30:BD:9D:CD:77
3. Definiremos nuestra regla añadiendo al /etc/squid/squid.conf la línea:
acl permit-mac-direcciones arp /etc/squid/permit-mac-direcciones”
4. Aplicaremos nuestra regla añadiendo al /etc/squid/squid.conf la línea:
http_access allow permit-mac-direcciones
5. Aplicaremos los cambios con hechos en el /etc/squid/squid.conf. Desde la consola
ejecutar el siguiente comando:
SARG
Con la herramienta SARG (Squid Analysis Report Generator) se permite ver con detalle la
actividad de todos los equipos y usuarios de una red local usando los registros (logs) de
Squid.
# sarg –x
3. Finalmente, iremos a la URL http://<ip-máquina-linux>/sarg y veremos los logs que
se han ido registrando.
CIFRA EN FLUJO
La Figura 1 muestra el esquema de un sistema de cifra en flujo.
CIFRA EN BLOQUE
En la cifra simétrica en bloque, la información a cifrar o texto en claro se agrupa en bloques
n de bits, típicamente 128 bits o 16 octetos. Estos bloques de bits entran al cifrador y se
mezclan con los bits clave, mediante diversas operaciones tanto de permutación como
de sustitución; por esto también son conocidos como cifradores de producto.
Cada bloque de texto en claro se convierte en un bloque de texto cifrado, como se
muestra en la Figura 3. Al final del texto en claro se ha añadido un relleno por si este no es
congruente con el tamaño del bloque.
Para que los bits del texto en claro se mezclen lo suficiente con los bits de la clave, habrá
que aplicar permutaciones y sustituciones en esos bits varias veces. En criptografía, a
estas operaciones repetitivas se les llama vueltas o rondas del algoritmo. Con ello se
logra, entre otras características interesantes, el denominado efecto de avalancha; esto
es, que el cambio de un solo bit en la entrada (o en la clave) produzca un cambio en
aproximadamente el 50 % de los bits de salida. En otras palabras, que cada bit de salida
sea una función compleja que dependa en un 50 % de cada bit de entrada.
Aunque existe una media docena modos de cifra, los más conocidos son: ECB (Electronic
CodeBook), CBC (Cipher Block Chaining) y CTR (Counter).
MODO ECB
El modo de cifra por libro electrónico de códigos ECB (Electronic Codebook) consiste en
cifrar bloques de texto en claro de manera independiente. Así, cada bloque de x bits del
texto en claro se cifra con la clave K del algoritmo y entrega un bloque de texto cifrado
de x bits.
No se recomienda el uso de este modo porque es vulnerable a ataques por inicios y
finales iguales entre dos documentos diferentes, así como a ataques por repetición de
bloques elegidos o bien modificados.
MODO CBC
En el modo de cifra por encadenamiento de bloques cifrantes (Cipher Block Chaining)
CBC, se usa una segunda clave de igual tamaño que el bloque de texto a cifrar, llamada
vector inicial IV, con la cual se realiza un OR exclusivo con el primer bloque del texto en
claro a cifrar, antes de comenzar la cifra.
El resultado de la cifra de esta nueva entrada con la clave K, es decir C1, se usará como
vector inicial del siguiente bloque de texto a cifrar, y así sucesivamente. Por tanto, se va
Ilustración 32 Modo de cifra CBC Cipher Block Chaining. Fuente: Ramió, 2006.
Para descifrar con este método, una vez se ha aplicado el algoritmo de descifrado
al primer subcriptograma con la clave K, se recupera el texto en claro realizando una
suma OR exclusivo con el vector inicial IV. Los siguientes bloques de subcriptogramas
se descifran de igual manera, pero utilizando ahora como vector inicial el criptograma
anterior, que hemos guardado previamente en un registro temporal.
Un error en la transmisión utilizando el modo CBC afectará a todo el resto del criptograma.
Unido a esto, aparece el problema asociado de que CBC no permite paralelizar la
operación de descifrado, algo a tener en cuenta cuando hablamos de cifrado de grandes
volúmenes de información.
MODO CTR
El modo CTR es similar al CBC, pero soluciona el problema del no paralelismo que tiene
CBC. Además, a diferencia del modo CBC un error de transmisión afectará solo al bloque
en cuestión, no a los siguientes.
CTR usa ese mismo vector inicial IV, pero en modo contador y no sumándolo XOR al texto
en claro, sino como entrada al propio algoritmo de cifra, de forma que para el primer
bloque su valor es IV, para el segundo bloque es IV+1, etc. La salida de esa cifra se suma
OR exclusivo con el bloque de texto en claro a cifrar.
Aunque las operaciones que realizan estas funciones pueden representarse por tablas
o figuras, de muy fácil comprensión, lo cierto es que están soportadas por ecuaciones
polinómicas. Es decir, el algoritmo AES tiene un importante fondo matemático.
Ilustración 35 Formación de bloques en MD5 y esquema del hash. Fuente: Ramió, 2006.
• A = 67452301,
• B = EFCDAB89,
• C = 98BADCFE,
• D = 10325476,
• E = C3D2E1F0.
Dependiendo de la ronda, los vectores se combinan de la siguiente forma:
• 1a ronda F = (B AND C) OR (NOT B AND D)
• 2a ronda G = (B XOR C XOR D)
• 3a ronda H = (B AND C) OR (B AND D) OR (C AND D)
• 4a ronda I = (B XOR C XOR D)
Una vez terminado el protocolo, ambos comparten un mismo valor K que puede usarse
EL ALGORITMO RSA
• El usuario que va a generar las claves pública y privada (Alicia) elige dos
primos p y q de valores iguales o superiores a 1 024 bits. Los valores de los
primos p y q serán un secreto, solo conocido por Alicia.
• Alicia multiplican esos primos y obtiene el módulo de cifra y hace público el
módulo de cifra n.
• Ahora se calcula Indicador de Euler Φ de ese módulo n, que en el caso de dos
primos multiplicados entre sí es . Este valor es su cuerpo trampa, un número
que solo conoce su dueño.
• A partir de ese valor trampa Φn se calculará ahora la clave pública e y la
correspondiente clave privada d.
• Alicia escoge un valor de clave pública e que deberá estar en el intervalo 1 < e
< Φn y ser coprimo de Φn, es decir, que mcd [e, Φn] = 1. En la práctica, esto no
se hace, puesto que todo el mundo usará como clave pública e el número 4
de Fermat F4 = 224 + 1 = 216 + 1 = 65 537, un número primo que permite realizar
las operaciones de cifra mucho más ágilmente.
Si Alicia desea enviar el número secreto N (con confidencialidad) a Bernardo, realizará las
siguientes operaciones. Como Alicia conoce la clave pública de Bernardo n y e, calcula
Ne mod n = C, enviando a Bernardo este criptograma C. Dado que Bernardo es el único
que conoce su clave privada d, solo él podrá realizar la siguiente operación: Cd mod n.
Observa que Cd mod n = [Ne mod n]d mod n = [Ne]d mod n. Puesto que en la operación
[Ne]d mod n los exponentes se anulan entre sí porque son inversos en Φn, en recepción
Bernardo recuperará el mensaje secreto N enviado por Alicia dentro del cuerpo n.
Por ejemplo, conociendo que los valores públicos de la clave anterior de Bernardo son n
= 143 y e = 7, Alicia le enviará el valor secreto N = 75. Como la clave privada de Bernardo
era d = 103, se procede entonces así:
• Alicia obtiene la función hash h(M) = H del archivo M que desea firmar.
• Sobre ese hash H, Alicia realizará la firma usando su clave privada d.
• Alicia calcula Hd mod n = S y le envía a Bernardo la dupla mensaje y firma (M,
S).
• Bernardo recibe (M’, S) pues no se sabe si recibe el mismo mensaje M o un
mensaje distinto o falso M’.
• Bernardo realiza la siguiente operación con la clave pública de Alicia: Se mod
n = [Hd mod n]e mod n = H.
• Es decir, recupera el valor H = h(M) que usó Alicia para su firma en el momento
de emisión.
• Bernardo calcula la función hash h(M’) del mensaje M’ recibido, que puede ser
el verdadero mensaje M u otro distinto M’.
• Si el hash calculado en recepción coincide con el hash recuperado y firmado
en emisión, se acepta la firma como correcta; en caso contrario se rechaza
la firma.
Si desea a firmar un documento M cuyo hash h(M) es el valor 46, se usará la clave privada
d = 77 y su cuerpo de cifra n =119. En recepción, Bernardo, o quien conozca la clave pública
e = 5 y n = 119 de Alicia, podrán comprobar dicha firma. Se procede en este caso así:
• Alicia calcula 4677 mod 119 = 65, que envía a Bernardo.
• Bernardo calcula 655 mod 119 = 46, y comprueba la firma.
NOVEDADES DE SEGURIDAD
El sistema operativo Windows Server 2016 incluye novedosas herramientas para abordar
vulnerabilidades de seguridad y prevenir ataques al sistema. Además, si un usuario no
autorizado ingresa en el entorno del dominio, un nuevo nivel de seguridad integrado en el
sistema operativo limita el daño que los usuarios pueden crear y ayuda en la detección
de actividades maliciosas.
Una de las más importantes innovaciones relativas a seguridad es una característica
única llamada Máquinas virtuales blindadas. Esto posibilita que la máquina virtual se cifre
con BitLocker y se ejecute solo en máquinas confiables y autorizadas por su servicio de
protección. Otra característica novedosa de Windows Server 2016 es un modo de ejecución
seguro llamado Virtual Secure Mode (VSM), que utilizan muchos componentes, incluida
la protección de credenciales, que crea regiones aisladas de memoria para procesos en
una partición segura virtualizada. Otras novedades de seguridad que incluye Windows
Server 2016, según STIC 570A (2018), son las presentes en la Tabla 1.
(TABLA)
Windows Server 2019 ofrece las siguientes novedades de seguridad:
Protección avanzada contra amenazas de Windows Defender (ATP). Tiene un sensor
de amenazas que detecta ataques a nivel de memoria y kernel y responde eliminando
archivos y procesos sospechosos y maliciosos.
Seguridad con redes definidas por software (SDN). La seguridad en redes SDN, en las
instalaciones o en la nube, ofrece muchas funciones para fomentar la confianza del
cliente en la ejecución de lotes de trabajos.
En Windows server 2022 se incorporan las siguientes medidas de seguridad:
Secured-core server: aprovechan al máximo las capacidades del hardware, firmware
y sistema operativo para protegerlo de las amenazas. La protección habilitada por un
DIRECTIVAS DE CUENTA
Las directivas de cuenta relacionadas a continuación se aplican a cada una de las
cuentas de usuarios, servicios y administradores pertenecientes a un dominio.
DIRECTIVA DE CONTRASEÑAS
Una contraseña segura que se cambia con frecuencia reduce las posibilidades de un
ataque exitoso. La configuración de la política de contraseñas controla la solidez y la
vigencia de esta. Esta sección describe la configuración específica para la política de
contraseñas. Estas directrices también deben usarse para las contraseñas de todas
las cuentas de servicio de la organización. Las políticas de contraseña definidas en la
política de dominio afectan las cuentas de usuario en ese dominio Active Directory. Estos
parámetros se pueden encontrar en el complemento Plantillas de seguridad en: a)
Directiva de cuenta\Directiva de contraseñas.
La creación de requisitos estrictos de longitud y complejidad de la contraseña no significa
necesariamente que esta sea segura para los usuarios y administradores. La habilitación
de políticas de contraseñas permite a los usuarios del sistema cumplir con los requisitos
de complejidad técnica para estas definidas por el sistema, pero los malos hábitos
requieren políticas de seguridad adicionales. Por ejemplo, «Cualquiera01» puede cumplir
con los criterios de dificultad de la contraseña, pero no es demasiado complicado de
determinar.
Según el Centro Criptológico Nacional en STIC 570A (2018) cada organización debe
establecer pautas de seguridad para crear contraseñas adecuadas, como:
«a) Evitar el uso de palabras que figuren en un diccionario, palabras
con faltas de ortografía comunes o juegos de palabras y palabras
extranjeras. b) Evitar utilizar contraseñas a las que se le añade un dígito
simplemente. c) Evitar utilizar contraseñas que otros puedan adivinar
fácilmente viendo su escritorio o bien por ingeniería social (como los
nombres de sus mascotas, equipos deportivos y familiares). d) Evitar
pensar en las contraseñas como palabras propiamente dichas, hay
que pensar en códigos secretos. e) Deben emplearse contraseñas
que requieran escribir con ambas manos en el teclado. f) Deben
usarse letras mayúsculas y minúsculas, números y símbolos en todas
las contraseñas. g) Deben usarse espacios y caracteres que solo se
pueden producir utilizando la tecla «Alt»».
Adicionalmente a la política de contraseñas anterior, se puede requerir una gestión
centralizada de todos los usuarios. Para impedir que un usuario cambie su contraseña,
excepto cuando se le solicite, el usuario puede renovarlas dentro de los intervalos mínimos
y máximos de contraseñas. No obstante, para diseñar un entorno altamente seguro solo
necesita cambiarla si el sistema operativo le notifica después de unos días, según lo
DIRECTIVA KERBEROS
Las directivas relacionadas con el protocolo Kerberos son necesarias para autenticar y
autorizar a los usuarios en el dominio. Dichas políticas definen parámetros relativos a
la versión 5 del protocolo Kerberos, como la duración del ticket y su cumplimiento. Las
directivas del protocolo Kerberos no se configuran en las directivas locales. Al reducir la
validez de los tickets de Kerberos, se reduce la posibilidad de que un atacante se haga
con una contraseña y pueda suplantar una cuenta de usuario legítima. Se recomienda
no cambiar los valores predeterminados de estos criterios, aunque pueden ser más
restrictivos. Estos parámetros se establecen en el complemento Plantilla de seguridad en
la siguiente ubicación: a) Directivas de cuenta\Directiva Kerberos.
REGISTRO DE EVENTOS
Los eventos del sistema y de la aplicación se registran en el Registro de eventos. Los
registros de seguridad registran y archivan los eventos de auditoría. El contenedor Registro
de eventos del modelo-plantilla de seguridad define las propiedades relacionadas con los
registros de eventos del sistema, aplicaciones y seguridad, como el tamaño del registro,
la firma máxima, los derechos de usuario, el acceso a cada registro, la configuración y los
métodos de guardado, etc.
La configuración del registro de eventos relativos al sistema, seguridad y aplicaciones se
configura en la política básica para aplicarse a todos los miembros del dominio. Luego,
hay que crear políticas específicas para diferentes roles de servidor dentro de cada
unidad organizativa. El conjunto de parámetros relativos al registro de eventos mediante
el complemento Plantillas de seguridad residen en: a) Registro de eventos.
PLANTILLA DE SEGURIDAD
Los criterios definidos anteriormente establecen parámetros comunes que deben
aplicarse en todo el dominio. Sin embargo, se recomienda que se establezca una
configuración específica en el nivel de función/rol de cada sistema. Esta sección define
configuraciones de seguridad adicionales para controladores de dominio y servidores
miembro que ejecutan Windows Server. Para los controladores de dominio se debe definir
un nuevo patrón incremental específico para que no cambie el GPO predeterminado.
Política de DC predeterminada proporcionada por Microsoft. Sin embargo, el nuevo GPO
tiene prioridad sobre el GPO establecido por Microsoft como DC predeterminado, ya que
consta de varios pasos.
Estas configuraciones asumen que el dominio está configurado como se describe en
la sección de Active Directory. El equipo servidor miembro especificado tiene un GPO
adicional, además del GPO aplicado al dominio, que le permite establecer la seguridad
en el equipo y el DC.
DIRECTIVAS DE CUENTA
Las políticas de cuenta relacionadas con las cuentas de dominio ya están definidas a
nivel de dominio, por lo que no es requerido definir adicionalmente ninguna configuración
en este conjunto de políticas a menos que se requiera una configuración adicional.
DIRECTIVAS LOCALES
• Directivas de auditoría. Las políticas de auditoría definen los eventos de
seguridad que se generan para monitorizar y registrar la actividad de los
usuarios o del sistema. Los administradores pueden monitorear las actividades
relacionadas con la seguridad, como quién está accediendo al objeto, si el usuario
está conectado o desconectado de la computadora y si se han cambiado las
configuraciones de auditoría. Los valores de la política de auditoría se pueden
encontrar en el archivo adjunto de la plantilla de seguridad en: a) Directivas
locales\Directiva de auditoría
• Asignación de privilegios de usuario. Es necesario gestionar con el Principio
de mínimos privilegios los permisos de cada usuario o grupo en función de la
necesidad que tengan de conocer de los recursos del dominio distribuidos en
diferentes servidores. Se otorgan permisos para realizar acciones específicas,
como iniciar una red o sesión local, y para tareas administrativas, como
Opciones de seguridad. Como indica STIC 570A (2018), permiten configurar entre otros:
«a) Cuentas: Configuraciones adicionales a las directivas de cuenta.
b) Auditoría: Configuraciones adicionales a las directivas de auditoría
c)DCOM: Configuraciones para el modelo de objetos de componentes
distribuidos.
d) Dispositivos: Configuraciones para la conexión y desconexión de dispositivos
en el equipo, así como acciones realizadas sobre los mismos.
e) Controlador de dominio: Configuraciones específicas para los controladores
de dominio.
f) Miembro de dominio: Configuraciones para equipos pertenecientes a un
dominio.
g) Inicio de sesión: Configuraciones para definir acciones sobre el inicio de
sesión en los equipos.
h) Cliente de red Microsoft: Configuraciones para establecer las comunicaciones
entre equipos clientes.
i) Servidor de red Microsoft: Configuraciones para establecer las
comunicaciones entre equipos servidores.
j) Acceso a la red: Configuraciones para definir acciones sobre los accesos a
la red.
k) Seguridad de red: Configuraciones sobre aspectos de protocolos en red.
l) Consola de recuperación: Configuraciones para determinar acciones a
poder realizar sobre la consola de recuperación.
m) Apagar: Configuraciones para definir el apagado del equipo.
n) Criptografía: Configuraciones acerca de algoritmos a utilizar.
o) Objetos del sistema: Configuración para distinción de mayúsculas y
minúsculas, así como el refuerzo sobre los permisos de objetos de Windows.
p) Configuración del sistema: Configuración para compatibilidades y
procesamiento de certificados.
q) Control de cuentas de usuario: Configuraciones para establecer el
comportamiento de la UAC.» .
Como se mencionó anteriormente, es necesario definir una política de grupo que tenga
REGISTRO
El modelo-plantilla de seguridad posibilita aplicar permisos más restrictivos al registro
del servidor. Generalmente, la seguridad predeterminada del registro de Windows
Server es suficiente, incluso si se requieren cambios. Los permisos de registro se pueden
configurar mediante el complemento Plantillas de seguridad en la siguiente ubicación: a)
Registro.
Cada perfil define una política predeterminada que se colocará a los paquetes de red que
se apliquen al perfil si dichos paquetes no tienen reglas de filtrado específicas. Se pueden
especificar diferentes opciones para conexiones entrantes y salientes. Le recomendamos
que utilice la siguiente configuración para todos los perfiles según indica STIC 570A
(2018):
«a) Conexiones entrantes: Bloquear las conexiones entrantes que no coincidan
con una regla.
a) Conexiones salientes: Permitir las conexiones salientes que no coincidan
con una regla» .
En esta configuración, debe permitir todas las conexiones de red al servidor y definir reglas
de filtrado para las conexiones entrantes dirigidas a los servicios que deben ser realmente
accesibles en la red. Por ejemplo, para permitir que los clientes realicen consultas de DNS
en el servidor las reglas de firewall deben permitir conexiones entrantes directas al puerto
53 / UDP si el servidor desempeña esta función.
Windows Server incluye un conjunto de reglas de forma predeterminada cuando se
instala sin una función o característica. La instalación real de la función o función incluye
la creación automática de las reglas necesarias para esta función o los servicios de red
proporcionados por estas funciones.
En general, estas reglas generadas automáticamente son muy seguras, pero debe
verificarlas y deshabilitar las innecesarias. Por ejemplo, si su servidor no tiene IPv6
habilitado, puede deshabilitar todas las reglas de firewall que permiten el tráfico IPv6. Si
no está utilizando DHCP, puede deshabilitar cualquier regla que permita el tráfico DHCP.
Las instrucciones paso a paso (CCNSTIC570A anexo A), que incluyen la configuración del
modelo-palantilla de seguridad, muestran la configuración recomendada para el Firewall
de Windows con seguridad mejorada para los controladores de dominio y los servidores
miembro en cada entorno.
Estas configuraciones de firewall recomendadas se incluyen como una directiva de
firewall (archivo con la extensión «.wfw») que puede importar a su computadora o a un
CUENTAS DE SERVICIO
No configurar un servicio para que se ejecute en el contexto de seguridad de cualquier
cuenta de dominio a menos que sea necesario de forma imprescindible. Si su servidor
está físicamente comprometido, puede obtener fácilmente la contraseña de su cuenta
de dominio obteniendo el secreto de la Autoridad de seguridad local (LSA). Si necesita
iniciar el servicio con una cuenta de dominio, le recomendamos que utilice la cuenta de
servicio administrada que se vio con anterioridad.
El analizador de políticas le permite tratar un conjunto de GPO como una sola unidad. Esto
facilita la determinación de si ciertos valores se repiten en el GPO o si se definen como
valores en conflicto. También puede utilizar el analizador de políticas para capturar una
línea de base y compararla con una instantánea que tome más tarde para identificar
cambios en cualquier parte del conjunto.
El modelo conceptual y de referencia de arquitectura de big data, NIST Big Data Reference
Arquitecture (NBDRA), que propone el NIST se muestra en la Figura 1 y representa un sistema
de big data compuesto por cinco componentes funcionales y lógicos, conectados por
interfaces de interoperabilidad (es decir, servicios). Dos capas envuelven los componentes,
representando la naturaleza entrelazada de la gestión y la seguridad y privacidad con los
cinco componentes.
El NBDRA se organiza en torno a dos ejes que representan las dos cadenas de valor del
big data: la información (eje horizontal) y la tecnología de la información (TI; eje vertical).
A lo largo del eje de la información, el valor se crea mediante la recopilación de datos, la
integración, el análisis y la aplicación de los resultados siguiendo la cadena de valor. Por
su lado, a lo largo del eje de la TI, el valor se crea proporcionando redes, infraestructuras,
plataformas, herramientas de aplicación y otros servicios de TI para el alojamiento y el
funcionamiento de los big data en apoyo de las aplicaciones de datos necesarias.
Ilustración 36. Modelo big data MBDRA. Fuente: Boyd, Chang y Levin, 2019
SYSTEM ORCHESTRATOR
Define e integra las actividades de aplicación de datos necesarias en el sistema vertical
operacional. En un entorno empresarial, la función de orquestador del sistema suele estar
centralizada y puede asignarse a la función tradicional de gobernador del sistema. Esto
proporciona los requisitos y las restricciones generales que debe cumplir el sistema, como
la política, la arquitectura, los recursos o los requisitos empresariales. El administrador
del sistema trabaja con roles como, por ejemplo, gestor de datos, seguridad de datos y
gestor del sistema para implementar los requisitos y la funcionalidad del sistema.
DATA PROVIDER
Si se efectúa un mapeo con las capas del modelo de referencia del NIST NBDRA, Hadoop
tiene principalmente los siguientes componentes:
• Aplicaciones para el componente de orquestación del sistema: Yarn, Ambari,
Zookeeper, Oozie.
• Aplicaciones para el componente proveedor de datos: HDFS (Hadoop
Distributed File System), Hbase, Flume, Sqoop.
• Aplicaciones para el componente proveedor de aplicaciones: MapReduce,
Mahout, Apache Spark, Apache Kafka.
• Servicios para el componente proveedor de infraestructura: este componente
está representado por la infraestructura interna o por servicios contratados en
la nube. La gestión de estos recursos se lleva a cabo con sus propias interfaces
y procedimientos de acuerdo con la tecnología usada o al servicio contratado
(AWS, Azure, etc).
• Aplicaciones para el componente consumidor de datos: Pig, Hive, Solr,
QlikView.
• Aplicaciones para el componente de seguridad y privacidad: Apache Knox,
Apache, Ranger, Apache Sentri, Rhino.
Como ejemplo práctico de entorno empresarial que usa el framework Apache Hadoop
El término «big data» hace referencia a cantidades masivas de información digital que
las empresas recogen. Las estimaciones de la industria sobre la tasa de crecimiento de
los datos son aproximadamente el doble cada dos años, de 50 Zettabytes en 2019 a 200
Zettabytes en 2020, según datos de Chojecki (2019). El big data no es una tecnología
específica, es una colección de atributos y capacidades.
La investigación de Lane (2012) añade características adicionales para que un entorno
particular califique como big data:
Tabla 6 Características adicionales para calificar como big data. Fuente: adaptado de Lane, 2012.
Cloud Security Alliance Big Data Security Working Group, presenta su Top 10 en seguridad
y privacidad para implementar en big data, lo veremos en la Tabla 2.
Ilustración 40 Top Ten en seguridad y privacidad para implementar en big data. Fuente: adaptado de Cloud Security Alliance, 2012.
Ilustración 41 Top 10 Seguridad Big Data. Fuente: Cloud security alliance, 2013.
Los principales documentos que el NIST Big Data Working Group publica en su sitio web
desarrollando los diferentes aspectos de big data incluidos la seguridad y privacidad
son los siguientes:
Ilustración 43 Taxonomía conceptual seguridad big data del NIST. Fuente: National Institute of
Standars and Technology, 2019
Ilustración 44 Taxonomía operativa de seguridad big data del NIST. Fuente: National Institute of Standars and Technology, 2019.
GESTIÓN DE DATOS
Sin embargo, los grandes y complejos conjuntos de datos complican la gestión de big
data en términos de volumen de datos, velocidad, variedad y variabilidad. Para estimular
la adaptación a un cambio positivo, la gestión de los datos necesitará persistir a lo
largo del ciclo de vida, de los datos en reposo, en movimiento, en etapas incompletas
y en transacciones, mientras proporciona seguridad y privacidad de jóvenes, ancianos,
organizaciones, etc.
Se tendrán que cultivar los beneficios económicos y la innovación, pero también permitir
la libertad de acción y promover el bienestar individual y público. Tendrá que basarse
GESTIÓN DE LA INFRAESTRUCTURA
Ilustración 45 Herramientas disponibles para implementar la seguridad y la privacidad en un sistema basado en Hadoop. Fuente: elaboración
propia.
• Apache Knox: consiste en un REST API Gateway para interactuar con los
clústeres de Hadoop. Proporciona un solo punto de acceso para todas las
interacciones REST con clústeres Hadoop. Además, facilita la funcionalidad
de control, integración, monitorización y automatización de las necesidades
críticas y analíticas de la empresa. Proporciona funciones de autenticación,
autorización y auditoría.
• Sentry: es otra herramienta de seguridad para Hadoop y proporciona
IAM EN AWS
En esta sección vamos a analizar cada uno de los componentes utilizados para el
despliegue de una solución IAM en AWS.
ARN
Para identificar los recursos, entre ellos a los usuarios de IAM, AWS usa los Amazon
Resource Names. Un ARN es un identificador único global que hace referencia a objetos
de AWS. La mayoría de los tipos de recursos de AWS tienen ARN, incluidos los objetos de
S3 y los roles, usuarios y directivas de IAM. Tienen el siguiente formato:
arn:partition:service:region:account-id:resource-type/resource-id donde:
• partition: una partición es un grupo de regiones de AWS: aws, aws-cn (regiones
de China), aws-us-gov (regiones GovCloud de EE. UU.). Una cuenta en AWS
pertenece a una única partición.
DIRECTIVAS DE IAM
La idea detrás de IAM es separar a los usuarios y grupos de las acciones que necesitan
realizar. Para ello, se crean directivas de IAM, que son documentos JSON que describen
qué acciones puede realizar un usuario. Esta política se aplica a los usuarios o grupos,
dándoles acceso solo a los servicios que especifica el documento.
Un permiso es una combinación de dos elementos: una acción y una lista de recursos.
AWS verificará si el usuario autenticado puede realizar la acción solicitada en un recurso
específico. Las acciones se definen como cadenas de texto con el formato servicio:permiso.
Los elementos que utilizamos para definir una directiva son:
• Los statements o declaraciones: la declaración es la pieza elemental de una
directiva, ya que enlaza acciones y recursos. El campo statement es realmente
una lista de subdocumentos, por lo que una única directiva puede tener
varias declaraciones.
• El campo effect indica si se habilitan las acciones sobre los recursos, con
Allow, o si se deniegan explícitamente, con Deny. Por defecto, un usuario al que
no se le aplica ninguna directiva no tendrá permiso para ejecutar ninguna
acción sobre ningún recurso. El valor Deny en effect sirve, por tanto, para
denegar permisos específicos que pueden haber sido habilitados por otra
directiva.
• El campo action especifica las acciones permitidas o denegadas sobre los
recursos. Puede ser un campo de texto, en cuyo caso, especifica una única
acción, o una lista. Las acciones admiten comodines en el permiso para reducir
el número de permisos que hay que escribir para conseguir un determinado
acceso. Por ejemplo, una directiva puede dar acceso completo al servicio EC2
con la acción ec2:*, que, de no usar un comodín, habría que escribir los más
de cuatrocientos permisos disponibles.
• El campo resource especifica el recurso o recursos, identificados con ARN,
sobre los que hace efecto la declaración. Al igual que action, puede ser un
campo de texto o una lista.
A continuación, se muestra un ejemplo de directiva.
{“Version”: “2012-10-17”, “Statement”: [{ “Sid”: “VisualEditor0”, “Effect”: “Allow”, “Action”: [
“ec2:RebootInstances”, “ec2:DescribeInstances” ], “Resource”: “*” }] }
ROLES
Al igual que los usuarios y grupos, los roles de IAM pueden tener una o más directivas
aplicadas. Estos roles se aplican, entonces, a una instancia en el momento del arranque.
AWS generará automáticamente la clave y el secreto de acceso, y los pondrá a disposición
de la instancia a través de la API de metadatos.
Estas credenciales se pueden usar para acceder a los servicios de AWS con los permisos
especificados por las políticas del rol. Los SDK de AWS y awscli están preparados para
leer estas claves automáticamente, sin necesidad de que los desarrolladores ni los
administradores se tengan que encargar de indicar configuración alguna. El único
requisito es que la aplicación debe ejecutarse en una instancia de EC2. Además, AWS
rotará regularmente las claves durante la vida útil de la instancia, sin requerir ninguna
acción por parte de los administradores.
Los roles se pueden aplicar también a otros servicios de AWS como Lambda o API
Gateway, usuarios (dentro y fuera de una organización), aplicaciones móviles o a terceras
entidades, para permitir que un proveedor administre ciertos recursos en la cuenta del
cliente.
El uso de roles para dar permisos en otras cuentas ofrece más flexibilidad para administrar
recursos, presupuestos y credenciales. Es habitual que las organizaciones dispongan
de múltiples cuentas de AWS para identificar, claramente, los límites de gasto. En estas
situaciones no es viable mantener usuarios y sus credenciales en todas las cuentas.
Para ello, se pueden asignar roles de una cuenta (A) a usuarios de otra cuenta (B).
Cuando un usuario de la cuenta B quiere operar sobre recursos de la cuenta A, el usuario
asume un rol de la cuenta B. Las acciones que puede llevar a cabo están delimitadas por
las directivas aplicadas a ese rol, no a las aplicadas al usuario. Esto es especialmente
relevante cuando las dos cuentas implicadas pertenecen a organizaciones diferentes.
Puede servir, por ejemplo, para dar control sobre una cuenta a una herramienta de gestión
Cuando se elimina un grupo de recursos, además se eliminan todos los que contiene. La
organización de los recursos del ciclo de vida es útil en entornos que no son de producción,
donde se puede probar y rechazar posteriormente. Los grupos de recursos son el ámbito
para aplicar el control de acceso basado en roles (RBAC). Al aplicar permisos RBAC a un
grupo de recursos se puede administrar y restringir fácilmente el acceso.
Además de que todas las funcionalidades son accesibles en Azure Portal, también
son accesibles usando PowerShell, la CLI de Azure, las API REST y los SDK de cliente. Las
funcionalidades que inicialmente están disponibles mediante las API se incluirán en el
portal a los seis meses de su disponibilidad inicial.
SUSCRIPCIONES DE AZURE
Para usar Azure se necesita una suscripción. Estas proporcionan acceso autenticado y
autorizado a los productos y servicios de Azure. Además, le posibilita el aprovisionamiento
de los recursos. Una unidad lógica o conjunto de servicios de Azure asociados con su
cuenta es una suscripción, que es una identidad en Azure Active Directory (Azure AD) o un
directorio de confianza de Azure AD.
Cualquier cuenta puede contener una o más suscripciones con diferentes modelos de
pago y políticas de control de acceso. Se puede utilizar una suscripción de Azure para
establecer límites en sus productos, servicios y recursos. Según DocsMicrosoft (2022) hay
dos tipos de límites de suscripción:
Tabla 9 Dos tipos de límites de suscripción de Azure. Fuente: adaptado de DocsMicrosoft, 2022.
Puede crear una estructura muy flexible en cuanto a los grupos de administración y las
suscripciones con el objetivo de organizar los recursos jerárquicamente para el acceso
unificado y la administración de políticas o directivas. La Figura 4 muestra un ejemplo del
uso de un grupo de administración para crear una jerarquía de administración.
Las pequeñas empresas pueden usar Azure AD como su único servicio de directorio para
controlar el acceso a productos y aplicaciones SaaS, por ejemplo: Microsoft 365, Salesforce
y Dropbox. Hay que tener en consideración que este método no suministra un modelo de
administración completamente centralizado (por ejemplo, una computadora local con
Windows autenticada con credenciales locales). Los usuarios pueden crear aplicaciones
que usan Azure AD para proporcionar mecanismos de autenticación y autorización que
los usuarios pueden administrar en un solo sitio.
Microsoft dispone actualmente de varios servicios en la nube, como Azure, 365, Intune y
Dynamics 365, y cualquiera puede usar Azure AD para definir usuarios y crear una política
de acceso.
Cuando una organización o compañía realiza una suscripción en uno de estos servicios
se le proporciona un directorio predeterminado, que es una instancia de Azure AD. Dicho
directorio dispone de los usuarios y grupos que pueden acceder a los servicios adquiridos
por la organización. Este directorio predeterminado se llama inquilino. Este está asociado
a la organización y al directorio predeterminados, es decir, el inquilino representa a la
organización y al directorio.
Las suscripciones de Azure son entidades de facturación y constituyen una frontera
de seguridad. Recursos como máquinas virtuales, sitios web y bases de datos están
asociados con una única suscripción. Una suscripción determinada también tiene un
propietario de cuenta único que es responsable de los costos incurridos por los recursos de
Cuando se crea un grupo en Azure AD, se tienen las mismas opciones que cuando se
crean los usuarios. Azure Portal es la manera más sencilla para la creación un grupo. Se
tiene que seleccionar el tipo de grupo (seguridad o Microsoft 365) y especificar un nombre
de grupo, una descripción y tipo de unión o pertenencia únicos. También puede utilizarse
Azure PowerShell para agregar grupos mediante el comando New-AzureADGroup, como
se muestra a continuación.
ROLES
Según DocsMicrosoft (2022):
«Azure AD proporciona varios roles integrados para cubrir los escenarios de seguridad más comunes.
Para entender cómo funcionan los roles, vamos a examinar cuatro roles que son válidos en cualquier
tipo de recurso:
• Propietario, que tiene acceso total a todos los recursos, incluido el derecho a delegar
este acceso a otros.
• Colaborador, que puede crear y administrar todos los tipos de recursos de Azure,
pero no conceder acceso a otros.
• Lector, que puede ver los recursos existentes de Azure.
Administrador de acceso de usuario: permite administrar el acceso de los usuarios a
los recursos de Azure».
• Permitir que un usuario administre las máquinas virtuales de una suscripción y que
otro usuario administre las redes virtuales
• Prmiso a un grupo de administradores de base de datos para administrar bases de
datos SQL en una suscripción
• Permitir que un usuario administre todos los recursos de un grupo de recursos, como
las máquinas virtuales, los sitios web y las subredes
• Permitir que una aplicación acceda a todos los recursos de un grupo de recursos».
Las características Actions y NotActions se pueden configurar para dar y denegar los
permisos que requeridos de forma precisa. Estas características se presentan con el
siguiente formato:
{Company}.{ProviderName}/{resourceType}/{action}.
AZURE AD CONNECT
Las organizaciones que utilizan una implementación de Windows Server Active Directory
local pueden integrar a los usuarios y grupos existentes con Azure Active Directory a través
del servicio independiente Azure AD Connect. Es una herramienta libre de pago que se
puede instalar para sincronizar una instancia de AD local con un directorio de Azure.
Mediante Azure AD Connect se puede suministrar a los usuarios de una identidad única y
común aplicaciones de Microsoft 365, Azure y SaaS integradas con Azure AD dentro de un
ambiente de identidad híbrido.
La integración de directorios locales con Azure AD hace que los usuarios sean más
productivos, dado que se les proporciona una identidad común para tener acceso a
recursos de nube y locales. Los usuarios y las organizaciones obtienen las siguientes
ventajas, según DocsMicrosoft (2022).
ALMACENES
Azure Key Vault se utiliza para construir contenedores seguros llamados almacenes. Los
almacenes posibilitan minimizar que se pierda información de seguridad centralizando
el almacenamiento de los secretos de las aplicaciones. Las empresas necesitarán
almacenes de claves. Un almacén de claves es un conjunto de claves criptográficas y
datos protegidos criptográficamente, llamados «secretos», administrados por una o
varias personas (las mínimas necesarias).
Los almacenes de claves contienen los grupos lógicos de claves y secretos de la empresa
que se van a administrar conjuntamente. Serían como los directorios del sistema de
archivos controlando y registrando el acceso a toda la información almacenada. Se
pueden administrar a través de herramientas como Azure PowerShell, la CLI de Azure, la
API REST o Azure Portal.
CLAVES
Una clave específica dentro de un almacén de claves es un recurso criptográfico que
Tabla 9. Variantes de claves de Key Vault. Fuente: adaptado de la página de DocsMicrosoft, 2022.
Tabla 10. Problemas que ataja Azure Key Vault. Fuente: adaptado de página de DocsMicrosoft, 2022.
1. Nombres de dominio: Gestión de la Raíz DNS, los dominios .int y .arpa, y un recurso
de prácticas de IDN.
2. Recursos numéricos: Coordinación global de números IP y AS, brindándolos
principalmente a los Registros Regionales de Internet (RIR).
3. Asignaciones de protocolo: Los sistemas de numeración de los protocolos de
Internet se gestionan en conjunto con los organismos de normalización.
2. Tipología delictiva en
cibercrimen.
2.1. Estafas en la banca electrónica. Phishing.
La banca electrónica es uno de los servicios con mayor aceptación y utilización por los
usuarios de Internet. Esto es debido a que, a través de su web, los clientes de una entidad
pueden realizar consultas, operaciones y transacciones de forma completamente
autónoma, ágil, inmediata y sin limitación por fecha, situación geográfica u horario.
El ciclo del phishing se puede dividir en distintas fases atendiendo a los pasos que, como
actos preparatorios, se diseñen y ejecuten con la finalidad de lograr el objetivo final.
Se trata de un proceso complejo en el que intervienen distintos actores en tiempos
distintos y con responsabilidades e implicaciones diferentes, si bien complementarias
y necesarias todas ellas.
Para obtener los datos referidos y teniendo en cuenta la capacidad técnica del
delincuente o las posibilidades de acceso a software específico, existen dos vías para
iniciar la campaña de recopilación de información: bien a través de ingeniería social,
sirviéndose para ello de avisos mediante correos electrónicos, redes sociales, etc.; o bien
mediante algún tipo de malware específicamente diseñado para tal efecto.
INGENIERÍA SOCIAL
INTRODUCCIÓN
Se pretende que sea la potencial víctima la que facilite voluntariamente sus datos
de identificación en la banca electrónica. Para ello, emplean técnicas que han ido
evolucionando y perfeccionando en el transcurso del tiempo, como consecuencia
del aumento en la concienciación del usuario en cuestiones de seguridad. Requiere
un período previo de elaboración durante el cual realizan acciones preparativas de la
campaña de phishing, como pueden ser las siguientes:
• Diseñar una web con idéntica apariencia a la de la entidad financiera a
cuyos clientes se dirige el phishing. La manera más sencilla de copiar una
web es descargar la original con cualquier software que lo permita y realizar
sobre ella los cambios necesarios —esencialmente de programación— a fin
de poder capturar los datos de acceso que de manera manual incluyen los
usuarios legítimos (esta falsificación de web se conoce como web spoofing).
No obstante, los phishers comprobarán si la web original cuenta con alguna
vulnerabilidad que pueda ser explotada (como un ataque de cross site
scripting (XSS)) por los atacantes. De ser así, la aprovecharán para obtener
de ella la información confidencial de sus víctimas.
• Registrar un dominio lo más parecido posible al de la entidad sobre la
Los más habituales hacen referencia a entidades bancarias que, alegando problemas
de seguridad, cambios en su política de acceso, detección de presuntos fraudes o
actualización de sus sistemas, requieren una aceptación de condiciones o confirmación
de datos personales, para lo que el cliente debe acceder a la supuesta página oficial
mediante un enlace que se encuentra en el cuerpo del mensaje. El objetivo es convencer
a la víctima de que se trata de una comunicación normal enviada por vía electrónica sin
que le resulte sospechosa.
En este caso, como en la práctica totalidad de este tipo de mensajes, al pulsar sobre los
enlaces se abriría una página web —con idéntico diseño a la de la entidad objetivo— en
la que aparece un formulario que invita a introducir el nombre de usuario, la clave de
acceso y, en ocasiones, la clave de operaciones. Es decir, la víctima facilita todos los datos
necesarios tanto para acceder a su banca online como para efectuar transferencias
electrónicas.
En otras ocasiones, las URL no aparecen literalmente, sino que se invita al receptor del
mensaje a hacer clic sobre un enlace, un botón de aceptar o similar. Si se sitúa el puntero
sobre enlace, se puede ver cuál es la dirección real a la que redirecciona. En el caso
En los mensajes más preparados, la dirección URL que aparece corresponde con la
entidad financiera real; sin embargo, al situar el puntero sobre el enlace se observa que
redirige en realidad a una dirección ajena a la entidad suplantada.
En este caso, se trata de una campaña de phishing dirigida a obtener datos relacionados
con tarjetas de crédito asociadas a VISA. Como se observa en el ejemplo, tanto la
redacción como el vocabulario utilizado son correctos y sin apenas errores gramaticales,
mostrando una apariencia digna de todo crédito.
Sus autores buscan atemorizar a los receptores del correo sobre la potencial utilización
ilegítima de sus tarjetas bancarias. En el mensaje que se muestra, informan de que se
ha realizado una supuesta utilización de la tarjeta bancaria «fuera del patrón típico
de compra» y que la tarjeta del cliente pude estar comprometida. Para dar aún más
credibilidad le asignan un supuesto número de caso y le solicitan que verifique su
identidad mediante el acceso a una web.
Esto trae consigo que cometan ciertos errores ortográficos, gramaticales o de idioma. En
el ejemplo, podemos ver que utilizan «nombres» (en plural) y «apellido» (en singular), lo
que indica que utilizan una base extranjera en la que lo habitual es tener dos nombres y
un solo apellido. También incluyen «code postal» en lugar de código postal. Otro detalle
que sobresale es que, bajo los campos donde se debe insertar la fecha de nacimiento,
aparecen las letras «jj» que pudieran hacer referencia a la palabra alemana jahr, que se
traduce como año.
Con los datos enviados a los phishers a través de los formularios mostrados como ejemplo,
los delincuentes pueden no solo utilizar las numeraciones de las tarjetas en comercio
electrónico, sino que además las pueden clonar, es decir, duplicarlas físicamente para
realizar con ellas compras en establecimientos físicos o retirar dinero desde cualquier
cajero automático. Más importante incluso que el quebranto que podrían hacer con
la utilización de la tarjeta a la víctima, los delincuentes también podrían suplantar su
identidad completa y utilizarla para la comisión de cualquier otro tipo de delito.
Es preciso iniciar este apartado detallando que este tipo de mensajería va cayen-
do en desuso mientras crece otra mensajería más instantánea como WhatsApp.
Otra manera de obtener los datos privados mediante ingeniería social es a través de
mensajes SMS o MMS. Las comunicaciones simulan provenir de una entidad financiera o
bancaria. Informan al titular de que han surgido problemas de validación en su tarjeta
o que esta ha sido bloqueada por razones de seguridad y que para poder volver a utili-
zarla debe acreditar su titularidad mediante un formulario al que se accede a través de
una dirección web.
La clara apuesta que se está haciendo por la banca electrónica y el acceso a esta desde
distintas plataformas móviles lleva aparejada que el smishing y otras evoluciones del
phishing —dirigidas a las nuevas vías de comunicación electrónica— estén despertando el
interés en las organizaciones criminales, que las perciben como una nueva oportunidad
de negocio, toda vez que sobre estos nuevos dispositivos no existe una concienciación en
seguridad tan extendida como en las computadoras personales.
Por lo general, la comunicación no se efectúa por una persona real, sino que se trata
de una grabación que sigue patrones similares a los utilizados por los distintos servicios
de atención al cliente. Durante la comunicación se requieren los datos bancarios o
las numeraciones de las tarjetas de crédito, incluyendo el número PIN, la fecha de
caducidad y el código CVV como paso previo a poder ser atendido supuestamente por
un operador. En otras ocasiones, las grabaciones telefónicas remiten al cliente a una
página web en la que realizar las presuntas comprobaciones, a través de formularios
donde los phishers obtienen los datos que buscan.
Esta modalidad no está dirigida a cualquiera que pueda recibir el correo electrónico
típico del phishing, sino que se centra en la búsqueda de un perfil concreto de usuario
Se centran sobre estos grupos al suponer que disponen de mayor capacidad económica.
En otras ocasiones, lo que se pretende es tener acceso a información sensible que podrá
ser utilizada para cuestiones distintas al simple robo de dinero.
MALWARE
INTRODUCCIÓN
Estas medidas llevaron a los criminales a desarrollar otros sistemas de ataque que les
permitieran robar la identidad electrónica de sus víctimas. Desde ese momento, los
programas conocidos como virus o gusanos informáticos abandonaron sus objetivos
iniciales, que se centraban únicamente en causar daños informáticos, para comenzar
a orientarse en lo que hoy conocemos como software malicioso o malware. Su principal
característica y objetivo consiste en robar cualquier tipo de información confidencial
de los sistemas informáticos en los que se instala, sin que sea detectada ni su presencia
ni su actividad.
Los primeros malware diseñados para acceder a los servicios de banca electrónica que
se detectaron fueron los conocidos como keyloggers y screenloogers:
TROYANOS BANCARIOS
Como se ha comentado, las técnicas de phishing junto con la ingeniería social se sirven
de un tipo de malware específicamente diseñado y desarrollado con el único objeto de
robar información de acceso a la banca electrónica o a cualquier otro servicio como
redes sociales o correo electrónico, para obtener beneficios con la comisión de fraudes
bancarios. Este tipo específico de malware se conoce como troyano bancario.
Con las nuevas vías de acceso a la banca electrónica y al resto de servicios personales
a través de los smartphones y las tabletas, los desarrolladores de malware —siguiendo su
lógica empresarial— han fijado sus objetivos en el diseño de malware específicamente
destinado a estos nuevos dispositivos, conocedores de que en poco tiempo se accederá
mayoritariamente a Internet y a la banca electrónica desde estos sistemas.
Al igual que los mensajes de correo electrónico y los dirigidos a los teléfonos móviles, el
objetivo del pharming es lograr que la víctima acceda a una página web fraudulenta
diseñada, o al menos modificada, con la finalidad de capturar información confidencial.
Para su éxito no se requiere la acción consciente de la víctima, como ocurre en los
ataques asociados a la ingeniería social, sino que se produce por una manipulación
informática.
Cuando un usuario teclea en su navegador una dirección web, por ejemplo, www.unir.net,
Un ataque en local se realiza aprovechando una característica del diseño de los sistemas
operativos, consistente en la existencia de un archivo en el que se almacenan nombres
de dominios y la dirección IP asociada a ellos. Si esta relación de dominios e IP es alterada
por un malware diseñado para efectuar ataques de pharming en local, cuando el
usuario teclee una dirección web, su navegador o cualquier otra aplicación que necesite
acceder a Internet se dirigirá en primer lugar al archivo referido antes, donde encontrará
la dirección web solicitada que enlaza con una dirección IP (modificada por el ataque),
que será a la que se acceda sin que sea necesario una consulta al DNS, toda vez que
supuestamente conoce su situación en la red.
No siempre que se obtienen datos mediante estas técnicas estos son utilizados
directamente por los atacantes para realizar las siguientes fases del ciclo del phishing, sino
que en muchos casos son vendidos a otros delincuentes u organizaciones criminales. De
esta manera se produce un auténtico tráfico de datos personales y mercado secundario
de información.
A estos colaboradores se les conoce como mulas o muleros y son captados a través
de distintos métodos que han ido evolucionando como adaptación a las constantes
campañas de información sobre estas estafas.
Según sea la capacidad técnica del grupo criminal que se sitúa tras la campaña de
phishing o que se sirve de ella para realizar las estafas, así será la complejidad o la
elaboración de los correos, cuyo único fin es salvar las cada vez mayores reticencias de
los internautas en aceptar estos trabajos.
En estas modalidades se solicita a los receptores de los correos que participen como
parte de la cadena de remisión de dinero a los damnificados. Deben facilitar una cuenta
bancaria en la que recibirán parte de los importes donados por particulares y empresas
para después reenviarlos a los responsables de la organización humanitaria, utilizando
para ello los servicios de compañías de envío internacional de dinero. Con esta ayuda
presuntamente se pretende evitar la participación inicial de las entidades bancarias
para ahorrarse sus comisiones y facilitar que llegue más dinero a las personas que lo
necesitan sobre el terreno.
Una vez que los phishers han captado a las mulas, establecen redes a fin de garantizar
la plena disponibilidad de una o varias de ellas para cada transferencia que puedan
realizar. Los delincuentes tienen que asegurarse de que no se deja de materializar una
estafa por no disponer de una cuenta a la que realizar la transferencia. Por este motivo,
aunque en el presente tema se han descrito como consecutivas las fases I y II del ciclo
del phishing, en realidad se efectúan de manera simultánea.
Las redes o bolsas de mulas son utilizadas de manera que les permita a los phishers
diversificar los riesgos. Habitualmente, el dinero total que roban de la cuenta de una
víctima es enviado mediante varias transferencias a cuentas bancarias a nombre
de distintas mulas. Con esto logran minimizar los riesgos a que las operaciones sean
anuladas o identificadas como fraudulentas y a perder el importe total. Igualmente, se
aseguran de que, si alguna mula se arrepiente de su colaboración o decide quedarse
con el total del dinero recibido, no pierden el resto del importe defraudado.
Como se ha podido observar, las mulas son el elemento determinante del delito, ya
que sin su acción consciente y voluntaria no se podría consumar la estafa. Son ellos
los que reciben el importe defraudado y son ellos los que lo ponen a disposición de la
organización delictiva.
Es fácil advertir que toda la inversión que los phishers realizan en campañas de ingeniería
social, en el desarrollo de malware y en su distribución carece de sentido y de resultado
final sin la participación de las mulas. Estas son parte esencial en el proceso criminal,
con independencia de que sean o no conscientes de su participación en el delito.
Una vez con las claves de acceso a la banca electrónica de una víctima, los delincuentes
suplantan su identidad electrónica y realizan transferencias online por todo el importe
que puedan a las cuentas facilitadas por las mulas.
En algunas ocasiones, los phisher piden a las mulas que entreguen el dinero personalmente
a miembros de la organización con la excusa de presentarlos como responsables de la
supuesta actividad comercial en su zona. Estas personas, captadas de forma parecida a
las mulas, pueden tener la residencia habitual en España y colaborar con la organización
criminal de manera estable o temporal. En otros casos, pertenecen a los escalones más
bajos de la organización y realizan viajes relámpago con la única intención de recoger
los resultados económicos de una campaña de phishing.
Los destinatarios a los que las mulas realizan los envíos de dinero no son los responsables
últimos de la estafa, sino que simplemente constituyen otros escalones de la organización
cuya misión se limita a recibir el importe transferido y, a su vez, remitirlo a otros niveles
superiores de la organización criminal.
Con el dinero en poder de los niveles más altos de la organización criminal, se cierra el
ciclo del phishing que, como se ha descrito, involucra a distintos actores en las distintas
fases de las que se compone, desde la preparación de la campaña y selección de
objetivos hasta la materialización del dinero y su recepción por los cibercriminales.
Las cartas de estafa, conocidas también como scam 419 (en referencia al artículo del
código penal de Nigeria que castiga esta actividad delictiva).
Con la universalización en el uso del correo electrónico, los estafadores han visto
exponencialmente mejorada su capacidad de envío de comunicaciones, acompañada
de un abaratamiento muy significativo de la inversión y una mayor rapidez en el contacto
con las víctimas y la consecuente materialización de la estafa.
En los distintos tipos de mensaje que se incluyen en los correos electrónicos siempre
se hace referencia a una muy importante cantidad de dinero proveniente de diversas
vías como herencias, subvenciones internacionales, robos, etc. que se encuentra
depositada a disposición del remitente, el cual no puede hacerla efectiva directamente
por distintos motivos quele obligan a solicitar la ayuda del destinatario del correo, a
quien promete una importante comisión a cambio de recibirla en su cuenta bancaria.
Ante la potencial víctima, el autor del correo se puede presentar como familiar de un
dictador del tercer mundo o de un miembro fallecido o detenido de su gobierno, como
político corrupto, como soldado destinado en un conflicto internacional, como empleado
de banca desleal, como una persona de edad avanzada o aquejada de una enfermedad
incurable, etc. En ocasiones, refuerzan su presentación y la historia que en ella cuentan
con un enlace a una publicación aparecida en un medio de comunicación real y de
reconocida solvencia, en el que aparece una noticia presuntamente relacionada con lo
expresado en el correo. En el caso del ejemplo siguiente, se trata de un accidente aéreo
sufrido por un ministro de Kenia.
You can read more about the crash through the below site:
http://edition.cnn.com/2008/WORLD/africa/06/10/kenya.crash/index.html
After the burial of my father, my stepmother and uncle conspired and sold my father's property
to an Italian Expert rate which the shared the money among themselves and live nothing for me. I am
constrained to contact you because of the abuse I am receiving from my wicked stepmother and uncle.
They planned to take away all my late father's treasury and properties from me since the unexpected
death of my beloved Father. Meanwhile i wanted to escape to the USA but they hide away my international
passport and other valuable travelling documents. Luckily they did not discover where i kept my fathers
File which contains important documents. So I decided to run to the refugee camp where i am presently
seeking asylum under the United Nations High Commission for the Refugee here in Ouagadougou, Republic
of Burkina Faso.
One faithful morning, I opened my father's briefcase and found out the documents which he has
deposited huge amount of money in bank in Burkina Faso with my name as the next of kin. I travelled to
Burkina Faso to withdraw the money for a better life so that I can take care of myself and start a new life, on
my arrival, the Bank Director whom I met in person told me that my father's instruction/will to the bank
is that the money would only be release to me when I am married or present a trustee who will help me and
invest the money overseas. I am in search of an honest and reliable person who will help me and stand as
my trustee so that I will present him to the Bank for transfer of the money to his bank account overseas. i
have chosen to contact you after my prayers and I believe that you will not betray my trust. But rather take
me as your own sister.
Although, you may wonder why I am so soon revealing myself to you without knowing you, well I will say
that my mind convinced me that you may be the true person to help me. More so, my father of blessed
memory deposited the sum of (US$11.500, 000) Dollars in Bank with my name as the next of kin. However, I
shall forward you with the necessary documents on confirmation of your acceptance to assist me for the
transfer and statement of the fund in your country. As you will help me in an investment, and i will like to
complete my studies, as i was in my 1year in the university when my beloved father died. It is my intention
to compensate you with 30% of the total money for your services and the balance shall be my capital in
your establishment. As soon as I receive your positive response showing your interest I will put things into
action immediately. In the light of the above. I shall appreciate an urgent message indicating your ability
and willingness to handle this transaction sincerely.
AWAITING YOUR URGENT AND POSITIVE RESPONSE, Please do keep this only to yourself for now untill the bank
will transfer the fund. I beg you not to disclose it till i come over because I am afraid of my wicked stepmother
who has threatened to kill me and have the money alone, I thank God Today that am out from my country
(KENYA) but now In (Burkina Faso) where my father deposited these money with my name as the next of Kin.
I have the documents for the claims.
Yours Sincerely,
Según el mercado al que se dirija el correo, así será el idioma en el que se escriba. Las
traducciones suelen estar hechas con la ayuda de traductores online y, por lo tanto, son
fácilmente detectables por los errores gramaticales que cometen.
Saludos a usted
Antes de que yo me presente, me permito informarle que este correo electrónico no es una broma y le
insto a que tratarlo con seriedad. Esta carta debe venir a usted como una sorpresa, pero creo que es sólo
un día en el que las personas se encuentran y se convierten en grandes amigos y socios de negocios. Mi
nombre es Sr. James Abbah.
El gerente de la sucursal de un banco presente aquí en Ghana. Te escribo esta propuesta de buena fe, en
la creencia de que puedo confiar en usted con la información que estoy a punto de revelar a usted. Como
he dicho, tengo una transacción que beneficie a los dos, ya que su ayuda es necesaria como un extranjero.
Que utilizo para trabajar como jefe del departamento de contabilidad en mi oficina central del banco, pero
en diciembre pasado me pidió que tomara la posición de un gerente en una de nuestras sucursales para
reemplazar al anterior que pasó, así que fue como me convertí en el Administrador presente y descubrió
una fortuna.
Al reanudarse el deber, en mi revisión de rutina y hacerse cargo, descubrí una cuenta con una importante
suma de dinero en dólares que ha estado flotando y desaparecidos durante los últimos 4 años. De mi
investigación, descubrí que la rama en la que yo soy el gerente, una ganancia excesiva de un interés
devengados por el dinero depositado por la Comunidad Económica de los Estados comité pago del
contrato, y que el dinero ha sido flotando. De hecho, he puesto este fondo en una cuenta de llamadas PLICA
sin un beneficiario legítimo y que se convertirá en su nombre en cuanto a identificar su interés por escrito.
La cuenta de depósito en garantía llamada es un tipo secreto de la cuenta en mi banco y no otra persona
sabe sobre esta cuenta o cualquier otra cosa que le concierne, la cuenta no tiene otro beneficiario. He
mantenido un estrecho seguimiento de la cuenta desde entonces. A medida que el gerente de la sucursal
del banco, directamente no se puede sacar el dinero sin la ayuda de un extranjero y es por eso que estoy
en contacto con usted para una ayuda para reclamar los fondos y compartirlo conmigo.
Tengo el poder para influir en la liberación de los fondos a cualquier extranjero que viene con el depositante
del dinero, con la información correcta sobre la cuenta, que yo te daré. Su responsabilidad será la de
ayudar a mover los fondos a su país. Va a ser una transferencia de banco a banco y yo tenemos que
asegurar que no existen riesgos involucrados en este negocio. La operación se ejecutará en virtud de un
acuerdo legítimo que le protegerá de cualquier violación de la ley. Si acepta trabajar conmigo, quiero que
indicar cómo desea compartir los fondos en porcentaje, por lo que ambas partes estarán satisfechos.
Ponte en contacto conmigo tan pronto como reciba este mensaje si sentimos que podemos trabajar
juntos, para que podamos entrar en detalles.
Agradeciendo de antemano y que Dios los bendiga. Por favor, tratar con la máxima confidencialidad.
Tras conseguir que se acepte participar en el negocio propuesto, y cuando todo parece
ir bien, se persuade a la víctima para que adelante, en principio, una pequeña cantidad
de dinero con la que obtener algún permiso administrativo necesario para realizar la
transferencia, sobornar a determinados funcionarios, pagar algún impuesto, etc. Si acepta
y paga este primer requerimiento, le pedirán nuevas cantidades de dinero justificándolas
con distintos pagos necesarios para liberar el dinero. Esto se repite hasta que, al final, la
víctima se reconoce como estafada.
7 October 2012
Texas 79022,
USA
Sir,
On behalf of the management and the Board of Trustees of this Bank, you are informed that your fund
was meant to be transferred to you and it was insured under high European insurance bond to be in our
treasury and security deposit bureau and we have no right to deduct even a cent from the said beneficiary’s
principal sum. As the said sum has insurance bond place on it by the sending origin you Uncle/Relative Late
Mr. Emmanuel Crabtree. This is to avoid quarreling and misunderstanding with your attorney Andreu Batllo
Carlos with the management of this bank. He is here today in our bank disturbing our management after
a discussion with him. Please advise him. This is your money and we would carry out the transfer once the
fee is paid I promise you that.
You are to pay €6,800.46, for COST OF TRANSFER / TRANSFER FEES, CLEARANCE AND ADMINISTRATIVE FEE. This
to enable a fast procedure towards the release of your fund/money from treasury and security deposit
bureau immediately the above mentioned fees is paid by you, for you to have access to your money.
You are now to start making all the necessary arrangement on how you make the above payment
immediately to avoid confiscation of your total sum by the Spanish government based on UN and EU
banking policy that is applicable until the date.
Yours faithfully,
Bancaja Bank
En algunas de estas estafas realmente elaboradas, los delincuentes llegan a crear una
falsa página web con la apariencia de pertenecer a un banco real con domicilio social
en algún país occidental. Como parte del engaño, y para ganarse la confianza de la
potencial víctima, le informan de que han trasferido a una cuenta abierta a su nombre
en esa entidad financiera una importantísima cantidad de dinero (generalmente varios
millones de dólares). Para comprobarlo, solo tiene que acceder a través de Internet con
las claves que le facilitan.
Se trata de una variante del anterior tipo de estafa. En lugar de una importante cantidad
de dinero que alguien quiere compartir, el correo electrónico que se recibe informa de
que se ha ganado un premio de la lotería nacional (si bien existen otros países a cuyas
loterías se hace referencia en las estafas, sin duda la lotería de España es la más utilizada
como reclamo) o de otra lotería gestionada por una empresa privada.
From: vnnlott876@wowway.com
Good Day,
WInning Informations!!!
PLACE:(Madrid Spain).
For the Claim Process do send name and Contact Information also state the mode of payment you will
prefer.
1.Cheque
2.Bank Transfer
Congratulations!!!
Asunto: A SU ATENCIÓN
A SU ATENCIÓN,
LE CONTACTAMOS POR ESTA PRESENTAMOS PARA INFORMARLE DE SU GANANCIA A MICROSOFT LOTERÍA SOCIEDAD.
MAIL: maitre.alfredstankovic@list.ru
TELF: +7926(778)732
CORDIALMENTE
Para que la víctima crea realmente que ha sido agraciada con un sorteo en el que ni
siguiera ha participado, junto con el correo electrónico se envían distintos documentos,
evidentemente falsificados, firmados por supuestos responsables de organismos oficiales
y en los que se informa de la veracidad del premio y de los pasos que ha de seguir para
poder hacer efectiva la cantidad ganada en la lotería.
Como se ha dicho, todo tipo de objetos pueden servir para estafar, ya sean anuncios
de computadoras, bicicletas, muebles, equipos de música, discos, robots de cocina,
juguetes, etc. Además, también se sirven de los anuncios online para estafar en servicios
ofertados, como son los alquileres de pisos, estancias en casas rurales, hoteles o, de
forma global, servicios de vacaciones.
No obstante, quizás las estafas más recurrentes y las que se han mantenido activas desde
hace más tiempo son las relacionadas con las ventas de vehículos a través de páginas
especializadas en estos tipos de anuncios. De manera esquemática, estas estafas siguen
el siguiente patrón.
Primero publican un anuncio en un medio especializado en compraventa de vehículos.
Las medidas de precaución que toman los estafadores a la hora de publicar los anuncios
hacen que no sea fácil averiguar desde qué lugar físico concreto se ha realizado la
publicación, lo que evita su identificación. El pago por el anuncio a los gestores de la
página web, en el caso de ser requerido, se realiza a cargo de tarjetas bancarias cuyas
numeraciones han sido ilícitamente obtenidas.
Asunto:2002 Volkswagen Golf 1.9 TDI GTI, Ed.Especial, 150 CV, 119.000 Km, Diesel, Gris, 1.500 Euros
Buenas, Perdona por tardar en responder. Mi nombre es xxxxx xxxxx xxxxxxxx con DNI xxxxxxxxx. Vendo el coche
porque me he casado con un inglés y nos hemos mudado en Inglaterra. Ya tenemos un coche nacional
para nosotros y no puedo tener el otro también. Estoy embarazada y en estos momentos estoy en una
maternidad Inglesa. Voy a dar la luz muy pronto. El precio es barato porque necesito véndelo muy rápido.
Voy a nacer y el dinero nos viene muy bien después. El coche lo tengo aquí conmigo en Inglaterra. El coche
es nacional con matricula española, tiene todo al día. Impuestos y revisiones. No tiene ningún defecto. Es
perfecto de motor, chapa y pintura. Por razones personales y medicales e dejado el coche en custodia de
una empresa de transporte local localizada en Londres - Inglaterra. Ellos se encargan de transporte, pago y
cambio de nombre. Los gastos de transporte los pago yo y el cambio de nombre esta incluido en el precio
final de venta. Usted tendrás que pagar solo el precio del coche y nada más. Después que el comprador
recibe el coche tiene 48 horas para la comprobación del coche y de los documentos. Si después de las
48 horas el comprador decidiera de no comprar el coche, la empresa de transporte va a restituirme el
coche sin ningún gasto o compromiso para el comprador. Tengo confianza en lo que vendo y soy 100%
segura que el coche está en perfecto estado. El coche ya lo tiene la empresa de transporte. La inspección
del coche y de los documentos esta completa y no hay ninguna problema. El pago por el coche se hace
en efectivo o a través de transferencia. Usted decideras el momento de la entrega. Pero en el momento
cuando voy a enviar los datos del comprador a la empresa de transporte para empezar los tramites, ellos
van a pedir una confirmación que tienes el dinero en efectivo para hacer la compra. Otra vez, EL PAGO
DEL COCHE SE HACE SOLO DESPUES QUE USTED RECIBES Y COMPRUEBAS EL COCHE Y LOS DOCUMENTOS. NO
ANTES. Cualquier gasto para esta confirma que pide la empresa de transporte lo pago yo. Quiero hacer
una transacción rápida y segura para los dos. Si estas de acuerdo con el procedimiento mándame los
siguientes datos para poder empezar los tramites:
Nombre: Apellido: Calle y Numero: Código Postal: Ciudad y País Número de DNI: Número de Teléfono. En
cuanto tenga sus datos voy a contactar con la empresa y ellos se pondrán en contacto telefónico y por
email con usted para enviar los pasos a seguir y finalizar la compra.
2002 Volkswagen Golf 1.9 TDI GTI, Ed.Especial, 150 CV, 119.000 Km, Diesel, Gris, 1.500 Euros
Vehículo en perfecto estado, cambio por 4 puertas por familia, se puede llevar a revisar, todas revisiones,
correa, etc. en concesionario oficial, mejor ver para juzgar.
Ya satisfecho el pago, poco después volverá a recibir otro correo donde nuevamente se
le requiere otro pago para hacer frente a cualquier otro trámite. En el caso de abonar
este segundo requerimiento, habrá un tercero, un cuarto y así sucesivamente hasta que
el comprador comprenda que se ha convertido en una víctima de un delito de estafa.
La información que los usuarios vuelcan en estos tipos de páginas web les describe
plenamente: muestran su edad, sus aficiones, sus pasiones, sus gustos, sus costumbres,
la existencia o no de familia y su relación con ella, su nivel económico, sus creencias
religiosas y un sinfín de datos identificativos de su carácter. Con un poco de ingeniería
social estos datos pueden ser utilizados por los delincuentes para idear, planificar,
desarrollar y finalmente consumar una estafa personalizada.
La otra vía, como se ha citado, consiste en publicar en las páginas de contactos perfiles
que resulten atractivos, para que de esta manera sean otras personas las que deseen
iniciar una relación. Las cuotas o pagos que este tipo de páginas suele solicitar para
inscribirse y utilizar sus servicios son pagadas utilizando los datos de tarjetas de crédito
robadas y compradas en el mercado del cibercrimen.
Las fotografías que se incluyen en los falsos perfiles pueden ser sacadas de Internet,
generalmente de páginas de modelos o de redes sociales. No obstante, en cada vez más
ocasiones, son imágenes de personas reales relacionadas con la organización criminal
que se prestan a fotografiarse con el fin de propiciar la estafa a cambio de dinero. El
motivo por el que esta opción se está imponiendo es debido a que, al extenderse este
tipo de estafas y consecuentemente existir abundantes advertencias en foros y webs,
las personas que contactan a través de estas páginas suelen desconfiar inicialmente y
piden a modo de prueba fotografías personalizadas para comprobar la veracidad de la
amistad y la existencia de la persona contactada.
No solo son perfiles de mujeres los utilizados para las estafas relacionadas con
romancescam; con cada vez más frecuencia, los perfiles que se utilizan como ganchos
para las estafas son de hombres interesados en conocer mujeres para iniciar una relación
seria y formal.
Junto con los datos de acceso a la banca online, otro de los objetivos a los que los
delincuentes le dedican un considerable esfuerzo mediante diversos vectores de ataque
(como el diseño, creación y difusión de malware especifico o la utilización de redes
botnets) es la información que aparece físicamente grabada en las tarjetas bancarias:
la numeración de la tarjeta, la fecha de caducidad y el código de verificación, también
conocido como CVC, CVC2 o CID (se trata de un número de tres o cuatro cifras que se
solicita a fin de comprobar que se dispone físicamente de la tarjeta bancaria durante la
realización de procesos de compra a través de plataformas electrónicas o telefónicas).
La vía más habitual para la obtención de estos datos es su compra en mercados ilegales
a los que se accede mediante determinadas páginas web, foros o chats específicamente
dedicados a su comercio. Se describirá detalladamente cómo se distribuye esta
información en el siguiente punto dedicado al skimming.
Los productos que suelen adquirir los delincuentes mediante la utilización de técnicas
de CNP fraud suelen ser aquellos que pueden ser fácil y rápidamente vendidos, como
equipos electrónicos, informáticos o teléfonos. También suelen utilizar este tipo de fraude
para la compra de billetes de avión u otro tipo de transporte.
Para este tipo de fraude suelen utilizar numeraciones de tarjetas bancarias extranjeras
con la finalidad de alargar al máximo su utilización efectiva, conocedores del dilatado
tiempo que transcurre entre la materialización de una compra, el conocimiento efectivo
del fraude por su titular y el conocimiento por las autoridades de la estafa.
SKIMMING
Mucho más complejo es realizar una copia de la información que no aparece a simple
vista en las tarjetas bancarias y, por lo tanto, al desconocerla su usuario legítimo, no
puede ser obtenida por manipulación informática del equipo de la víctima o mediante
técnicas de ingeniería social.
Toda la actividad que rodea al skimming, desde el diseño y creación de los elementos
electrónicos necesarios para la obtención de la información de las tarjetas hasta la
retirada efectiva de dinero o la compra física de algún producto, podemos englobarla
dentro del término ciclo del skimming, donde estarían incluidas la obtención de los datos
de las tarjetas, su duplicación y finalmente su utilización física en establecimientos
comerciales.
Las técnicas que utilizan los skimmers se dirigen a conseguir dos tipos de datos distintos,
pero complementarios y necesarios para la utilización de una tarjeta bancaria. Estos son
los datos que se incluyen en la banda magnética y el número PIN que permite utilizar la
tarjeta.
Para lograr un encaje perfecto de las falsas bocas lectoras, en ocasiones necesitan
instalarlas junto con los embellecedores y paneles que las rodean, por lo que el proceso de
construcción es mucho más elaborado y costoso, si bien necesario para poder instalarlo
con éxito sin llamar la atención.
Junto con la información de las bandas magnéticas, los delincuentes necesitan conocer
el número PIN de las tarjetas que copien, ya que sin esta información no podrían utilizar
las tarjetas en comercios ni retirar efectivo en cajeros. Para lograrlo pueden optar por, al
menos, dos vías.
Ilustración 28. Detalle de un falso embellecedor, donde se puede observar el orificio creado para situar tras él
la óptica de la cámara de vídeo.
En algunos casos se combinan las dos técnicas citadas, por ejemplo, cuando se utiliza
un grabador de tarjetas disimulado a la vez que se obtiene el número PIN asociado con
la intervención de una persona que de manera discreta observa el teclado y anota la
combinación numérica.
3. DISTRIBUCIÓN DE LA INFORMACIÓN
Ya con la información útil para sus propósitos, los delincuentes tienen que disponer de
capacidad y conocimiento técnico suficiente, además del material específicamente
destinado para clonar las tarjetas. Pueden desarrollar estas actividades los mismos
integrantes de la organización delictiva que han sustraído la información, otros
delincuentes especializados en esta fase o incluso terceros a los que venden la
información sustraída a través de distintas vías, como anuncios en páginas webs o foros
dedicados específicamente a este mercado, donde se suele emplear el término dump
para referirse a los datos de las tarjetas bancarias. Los precios se fijan en relación con el
tipo de tarjeta (classic, gold, platinium, infinte, etc.) y el país o zona geográfica de origen.
En los anuncios de este mercado, junto con el precio de los lotes de numeraciones de
tarjetas que se ofrecen y las condiciones en las que se produce su envío, se expone
la forma en que se puede contactar con el vendedor, que desde hace años suele ser
mediante ICQ (un sistema de mensajería instantánea).
Para efectuar la clonación física, es decir, para crear tarjetas bancarias con la información
que han robado, la organización debe disponer de diversas herramientas o, en su caso,
encargar este servicio a otro grupo criminal que disponga de ellas.
Necesitan, en primer término, los soportes de tarjetas en blanco con bandas magnéticas
en las que grabar los datos sustraídos. Además, es necesario contar con una impresora
de alta calidad y de características especiales que permita imprimir sobre las tarjetas el
diseño de las originales, con igual intensidad y variedad de colores.
En las tarjetas falsas se deben incluir los hologramas o logotipos con los que cuenta cada
tipo concreto de tarjeta y que están pensados precisamente para evitar ser copiadas.
Estos hologramas se pueden comprar sin dificultad a través de distintas páginas web.
Con el soporte prácticamente acabado, deben codificar las pistas de la banda magnética.
Para esto se utiliza software diseñado para la codificación de la información y un lector/
grabador de bandas magnéticas a través del cual se efectuará la grabación.
Por último, se debe hacer coincidir la información grabada en la banda magnética con
la que aparecerá en relieve en el exterior de la tarjeta. Se utilizan para ello máquinas
troqueladoras, conocidas como manual card embosser.
En disposición de las tarjetas clonadas, únicamente queda efectuar compras con ellas
o retirar dinero a través de cajeros automáticos. Para el primer caso, cada tarjeta se
acompaña de un documento de identidad en donde consta, junto a la fotografía de
la persona que la usa, datos identificativos coincidentes con los que se ha introducido
Generalmente, no utilizan los datos de las tarjetas robadas en el mismo país donde las
obtienen con el objeto de retrasar al máximo el momento en que su titular denuncia
su utilización ilegítima. Estos grupos criminales están tan bien organizados y actúan con
tanta coordinación que se han detectado casos en los que se realizaban compras con
una tarjeta clonada en un país extranjero apenas unas pocas horas después de haberse
copiado su banda magnética en un cajero situado en España.
La franja de tiempo durante la que pueden utilizar la tarjeta clonada depende de algunos
factores como la cantidad de dinero que tenga fijada como límite, el tiempo que tarde el
titular de la tarjeta en darse cuenta de su uso ilegítimo, los sistemas antifraude que tenga
implementados la entidad financiera que haya expedido la tarjeta o el país en el que se
haya utilizado la tarjeta clonada.
Sin duda, el elemento que más dificultad está suponiendo para la consecución de los
objetivos de las redes de skimmers es la implantación de modelo de tarjeta conocido
como EMV (Europay, Mastercard y VISA). Se trata de un estándar implantado en todas
las tarjetas electrónicas de los países que lo han adoptado y cuya característica visual
externa es la inclusión de un circuito integrado (chip), que puede soportar procesos
criptográficos, por lo que la información relacionada con las operaciones es transmitida
cifrada y no puede ser interceptada.
De todos los delitos descritos, los incluidos en este punto son los que se pueden
considerar como más puramente informáticos. Se trata de ataques contra los principios
de confidencialidad (accesos no autorizados a los ficheros alojados en un sistema),
Entre los identificados como daños informáticos se encuentran aquellas acciones que
tienen como consecuencia dañar, deteriorar, alterar, suprimir o hacer inaccesibles
datos. Junto a estas actividades, se recogen también bajo la denominación de daños
informáticos las acciones que tengan como resultado obstaculizar o interrumpir
el funcionamiento de un sistema informático ajeno (como puede ser el resultado de
ataques de denegación de servicio, DoS).
APT hace referencia al conjunto de medios empleados y técnicas utilizadas como parte de
un sofisticado ciberataque cuyo objetivo es la infiltración en un sistema o red informática
y su permanencia por un período prolongado de tiempo, durante el cual tendrá acceso
y extraerá constantemente información sensible o crítica de la empresa u organismo
víctima.
Como características descriptivas de una APT, se pueden incluir las siguientes:
FASE 1. RECONOCIMIENTO
Como primera fase, los atacantes recopilan toda la información pública y confidencial
que puedan obtener sobre la empresa víctima. Para esto utilizan desde las webs de la
compañía hasta los artículos publicados relacionados tanto con su actividad como con
la de sus directivos. Además, estudian a otras empresas que mantengan relación con
su objetivo, a la búsqueda de puntos de acceso o fuentes de información. Seleccionan
como objetivos a aquellas personas de las que se pueden servir para lograr el primer
acceso a la red interna de la compañía. Suele tratarse de directivos con alto nivel de
responsabilidad o de desarrolladores o investigadores líderes de proyectos.
Una vez identificados los objetivos, despliegan sobre ellos todas las herramientas
que disponen para conocer sus hábitos, rutinas y vida en general (resulta esencial la
información que el objetivo tenga en las redes sociales en las que participe). Buscan la
mejor oportunidad para infectar sus equipos informáticos y acceder a través de ellos a la
red informática corporativa.
BOTNET
El término botnet hace referencia a una red de computadoras (a los equipos que forman
parte de una red botnet se les suele llamar robots, bots o zombis) que, estando infectados
por un malware, son controlados de manera coordinada y remota por una persona
responsable de su mantenimiento y utilización, identificada con el término
Este control sobre los equipos informáticos puede ser utilizado para usarlo de manera
coordinada o distribuida en determinadas acciones ilícitas, sin que los usuarios de
los equipos infectados participen en ellas o tengan conocimiento de su realización o
consecuencias. El número de equipos que pueden llegar a formar parte de una botnet
es prácticamente ilimitado; se han detectado y desarticulado redes con millones de
equipos infectados.
Las etapas que, de una manera aproximada, siguen los ciberdelincuentes para la creación
de una red de botnets son las siguientes:
• En primer lugar, diseñan qué tipo de red quieren establecer, con qué finalidad
y potencialidad y qué medios técnicos —como es el caso del sistema de
control— van a necesitar. El sistema de control denominado mando y control
(Command & Control o C&C) es un programa que, con una sencilla interfaz,
permite la gestión remota de la red, lo que facilita distintas acciones como la
grabación de las pulsaciones de los teclados mediante la implementación
de un keylogger, la creación de cuentas de administrador con las que escalar
privilegios dentro de cada máquina, la ejecución remota de comandos, la
captura de pantalla, la descarga y transferencia de ficheros, etc.
• Posteriormente, deciden el malware concreto que van a utilizar para establecer
la conexión con los equipos informáticos víctimas. A través del malware
elegido podrán tomar su control. Este software malicioso, dependiendo de la
cualificación técnica del delincuente, puede diseñarlo y programarlo él mismo
o comprarlo en el mercado del cibercrimen a otros creadores de malware.
El objetivo último es que se infecte el mayor número de equipos para que formen parte
de la red de bots. Para esto, los programas maliciosos suelen contar con funcionalidades
que les permiten propagarse automáticamente sin la participación de sus controladores,
por lo que, una vez instalados dentro de una red, la recorren en busca de nuevos sistemas
huéspedes donde instalarse y añadirse a la red de equipos controlados.
Cada equipo que es colonizado por la botnet ha de comunicarse con su botmaster a
través de su servidor de mando y control (C&C), tanto para hacerle saber que se encuentra
activo como para recibir las actualizaciones e instrucciones por ejecutar. Para ello existen
varias vías, entre las que podemos citar:
• La instalación de una puerta trasera o backdoor, por la que su controlador
puede acceder al sistema infectado.
• Mediante conexiones web HTTP. Actualmente es la más utilizada, ya que
estas conexiones pasan desapercibidas a los sistemas de seguridad como
cortafuegos. Además, otra ventaja que aporta este tipo de comunicaciones es
que pueden ser fácilmente cifradas, lo que evita su detección e interpretación.
• Se han detectado también conexiones al servidor de mando y control de una
botnet con los equipos infectados mediante la utilización de Twitter. En este
caso, las órdenes eran enviadas mediante la publicación de mensajes en tuits.
RANSOMWARE
El tipo concreto de malware conocido como ransomware (término que proviene de la
palabra inglesa ransom, cuyo significado es ‘rescate’) hace referencia a una variante
específica de software malicioso que bloquea el acceso al sistema informático o a
determinados archivos, a fin de exigir una cantidad de dinero a modo de rescate para
devolver su control al usuario. Los primeros casos se dieron en Rusia en los años 2005
y 2006. Desde entonces, el malware ha ido evolucionando, tanto en la manera de su
distribución como en las tácticas que se emplean para conseguir sus objetivos.
Esta modalidad de daños informáticos se ha convertido en una de las que mayor
tasa de distribución ha alcanzado, si bien su incidencia real no es conocida debido al
considerable número de víctimas que, por un motivo u otro, optan por no denunciarlo. No
obstante, por la información que aparece sobre él en medios de comunicación y sobre
todo en webs especializadas, parece que este tipo de delito continuará incrementando
su actividad a pesar de los éxitos policiales puntuales, debido principalmente a la sencillez
de su comisión, a la potencial aparición en el mercado de exploit kits y a la ausencia
de intermediarios que lleva consigo una mayor agilidad y reducción de riesgos para los
delincuentes.
Un exploit kit es un conjunto de funcionalidades empaquetadas que contienen programas
informáticos destinados a ejecutar y explotar ataques de manera automatizada. Estos
paquetes se encuentran a la venta en los mercados del cibercrimen, por lo que cualquiera
que los obtenga puede ejecutar ataques con independencia de su cualificación técnica.
Esta modalidad delictiva supone un peligro creciente tanto para usuarios domésticos
como para las empresas, ya que una pérdida de archivos con información sensible
puede tener consecuencias importantes, ya sean de índole productivo, de gestión o
competitivas.
ORIGEN Y EVOLUCIÓN
Las primeras actividades criminales que se conocen relacionadas con el secuestro
de datos informáticos se basaban en la distribución de un malware que cifraba
archivos, carpetas o dispositivos de almacenamiento del sistema informático atacado.
Principalmente documentos con extensiones del paquete Office (.doc, .xls, .ppt, etc).
DESINFECCIÓN
En las primeras variantes, aún activas, se logra eliminar el malware mediante el acceso
a la opción de modo seguro del sistema operativo, para luego realizar cambios a través
de Regedit. Las constantes mutaciones que está sufriendo hacen que con cada nueva
evolución sea más complicada su desinfección. Gracias a la publicidad que se está
realizando de la existencia de este malware, existen profesionales de la seguridad que
publican soluciones de manera constante y que se distribuyen por distintos foros y
páginas web, por lo que no resulta complicado encontrarlas y aplicarlas, si bien es cierto
que no es nada fácil y son muchas las ocasiones donde se puede recuperar una parte
de la información perdida.
No olvidemos que lo mejor es prevenir y tener realizados backups de nuestra información
de una forma continua y permanente. Otra prevención es la de concienciar a los usuarios
de los peligros de navegar por páginas de dudosa reputación o el riesgo de aceptar la
instalación de cualquier tipo de plugin para poder ejecutar algo.
EVOLUCIÓN
La constatación por parte de los delincuentes del éxito que este tipo de delito les
acarrea (traducido en beneficios económicos) hace fácilmente predecible que esta
modalidad de extorsión se hará cada vez más usual.
• Páginas web a las que se accede sin ningún tipo de restricción a través de
los navegadores y que se encuentran indizadas por los buscadores.
• Páginas web indizadas en los buscadores, pero de acceso condicionado, por
lo que exige que sus usuarios formen parte la comunidad, en la que participan
enviando archivos o a la que contribuyen ingresando importes económicos.
• Páginas web no indexadas por los buscadores convencinales (deep web). Para
acceder a ellas hay que conocer previamente su dirección web y hacerlo a
través de determinados protocolos de comunicaciones.
• Mensajería instantánea.
• Foros que, al igual que las páginas web, pueden ser de libre acceso o de
acceso restringido.
• Correos electrónicos individuales o mediante listas de correos.
• Redes peer to peer (P2P).
COMUNICACIONES
Las distribuciones operativas suelen estar basadas en pequeños grupos o células
independientes y autónomas, situadas en puntos geográficos distintos y sin relación
directa entre ellas. Internet es el medio ideal para la comunicación de estos grupos con
sus superiores jerárquicos y con los grupos de apoyo logístico.
Los mensajes pueden ser enviados desde cibercafés u otros establecimientos donde no
se exige una identificación para el acceso a Internet o a través de conexiones establecidas
desde computadoras bajo protocolos que garanticen su anonimato, como es el uso de
la deep web y de los correos electrónicos a través de la red TOR.
Para el cifrado de mensajes pueden utilizar tanto programas comerciales como otros
especialmente diseñados por colaboradores. Este es el caso de Mujahideen Secrets,
desarrollado por un equipo cercano a Al-Qaeda que permite el cifrado de textos, ficheros,
mensajes de correo y de chat.
En ambos tipos de acoso encontramos las siguientes características, que se deben dar
para considerarlo como tal:
• El acoso debe ser repetido, no puntual. Un hecho aislado no es ciberacoso.
• Se puede dar cierta jerarquía de poder entre el acosador o acosadores
respecto de la víctima. Entre NNA se da siempre y entre adultos suele ocurrir
en las relaciones de acoso laboral y sexual.
• La inmediata difusión de los ataques a través de Internet y la dificultad en su
eliminación, asociada a su permanencia en el tiempo, amplifica el impacto
del daño producido a la víctima.
GROOMING
También es conocido como child grooming o Internet grooming. Se trata de un acoso
originado por un adulto y dirigido a un NNA cuyo objetivo final es la aproximación física
con intenciones sexuales. Durante el grooming, el autor utiliza la red como medio para
ganarse la confianza de su víctima, sirviéndose de todo tipo de estrategias dirigidas a
establecer una previa conexión emocional. Con ella, logra que el NNA realice actos de
naturaleza sexual, ya sean de manera voluntaria o forzada. En primer lugar, será virtual
y, después, real.
Se trata del contacto con un NNA de 16 años que tiene como finalidad la realización última
de alguno de los delitos citados. Es básicamente una anticipación en la protección, se
adelanta la barrera penal a partir de la cual se sanciona y, por lo tanto, el mero contacto
con estos NNAs puede dar lugar a la sanción penal.
En el desarrollo del grooming se da cabida a otros delitos como son las amenazas, los
daños informáticos y el propio acoso; sin embargo, todos estos delitos se cometen con
la finalidad de culminar un ataque de carácter sexual.
FASE 4. ACOSO
Una vez que ha obtenido las grabaciones y fotografías del NNA, el autor se muestra
como es, exigiendo que continúe realizando actos sexuales cada vez más explícitos.
Para lograrlo le amenazará con distribuir las imágenes que ya tiene entre los familiares
y amigos de la víctima. Le mostrará las grabaciones que de forma consentida o no (a
través de la webcam) le ha realizado. Le cambiará la palabra de acceso a su correo
electrónico y otras acciones con las que pretenderá que el NNA se vea obligado, por
miedo o vergüenza, a acceder a lo que le solicite.
En ocasiones, las más graves, el autor pide a cambio de no distribuir el material que
posee un encuentro físico y sexual con el NNA.
FASE 5. DIFUSIÓN
En la inmensa mayoría de los casos, una vez humillado el NNA hasta los extremos que el
autor considere suficientes, las imágenes y grabaciones de vídeo son distribuidas entre
los amigos y familiares de la víctima, con la simple intención de causar daño. En otras
ocasiones, no excluyentes, piden que les faciliten nombres y direcciones de correo de
otros NNAs a los que acosar.
DELITO DE CALUMNIAS
Para que estemos en presencia de un delito de calumnias, son necesarios los siguientes
requisitos:
• Es necesario que se impute un delito.
• Que la imputación se haga respecto de una persona claramente
identificable.
• Que se determine claramente el delito, el objeto del delito y la persona
imputada. Las expresiones genéricas como «ladrón» o «asesino» pod rán ser
como mucho constitutivas de un delito de injurias.
Estos delitos de injurias y calumnias son delitos que únicamente pueden ser perseguibles
a instancia de parte y no de oficio, con lo que es necesaria la querella del agraviado
para iniciar su tramitación.
Durante largo tiempo nos encontramos con delitos cometidos por medio de la palabra,
ya sea expresada oralmente o de forma escrita generalmente en medios tradicionales
(prensa o revistas); pero, en el momento actual, tras la aparición de Internet y su acceso
generalizado entre todos los sectores de la población, surgen nuevos mecanismos de
comunicación que tienen no solo un carácter bilateral (correo electrónico, SMS o similar),
sino en la mayoría de las ocasiones multilateral, donde las opiniones y manifestaciones
de cada uno se ponen en conocimiento de miles de personas de forma prácticamente
inmediata, situación que se produce en el ámbito de las redes sociales. Un elemento
importante en este ámbito es la cuestión de la publicidad.
En este caso sí se podría estar en presencia del delito, además de que se estaría
vulnerando el derecho a la propia imagen de la persona suplantada.
• Acceso a la cuenta de, por ejemplo, Facebook o Twitter del suplantado para
posteriormente utilizarla.
En este caso nos podríamos encontrar con diferentes conductas punibles partiendo de
la usurpación de identidad.
Así, y dependiendo de la forma de acceso y de lo que se haga, podemos estar en
presencia de varios delitos:
o Secreto de telecomunicación, si tiene acceso a correos electrónicos.
o Divulgación de secretos, si se apodera de datos personales.
o Acceso a un sistema de información sin consentimiento, en el supuesto de
acceso no consentido.
DATOS VOLÁTILES
Son aquellos datos que se pierden cuando el sistema se apaga y no son recuperables.
Por ejemplo:
• Servicios en ejecución.
DATOS NO VOLÁTILES
Los datos no volátiles o persistentes permanecen en los soportes de información, aunque
el sistema se apague o reinicie, por ejemplo:
• Ficheros del sistema.
• Documentos ofimáticos, imágenes, audios, etc.
• Logs del sistema.
ENTORNOS DE ANÁLISIS
Durante la fase de identificación y adquisición tendremos que identificar el tipo de
entorno al que nos enfrentamos. Según el estado en el que nos encontremos el sistema
sobre el que tenemos que realizar el análisis forense, aplicaremos diferentes técnicas
para la extracción de los datos.
Podemos diferenciar dos tipos de entornos de análisis, análisis en caliente y análisis
post mortem.
ANÁLISIS ONLINE
Este tipo de análisis se aplica cuando el sistema se encuentra encendido.
Este estado es el ideal para poder extraer la información volátil, pero es fácil contaminar
el sistema al realizar esta tarea. Actualmente existen herramientas especializadas en
la adquisición de los datos volátiles y que apenas interactúan o modifican el sistema
durante el proceso. Por ejemplo, para la adquisición de la memoria RAM, podemos utilizar
herramientas como Memoryze o DumpIT. Para poder analizar el contenido de la imagen
adquirida, podemos nombrar a Volatility como herramienta principal.
ANÁLISIS OFFLINE
Cuando el sistema está apagado tendremos que aplicar un análisis offline.
En este estado podemos extraer la información no volátil sin alterar las evidencias de
los datos volátiles, siempre trabajando con una copia de seguridad de los soportes
de información. Para adquirir la información no volátil, nos ayudaremos de las suites
forenses, como Caine, Autopsy y herramientas como la suite de Nirsoft.
• Fecha de la adquisición.
• Persona que realiza la adquisición.
• Modelo, número de serie, fabricante, etc.
• Ubicaciones y traslados de la evidencia.
Las evidencias digitales, tales como imágenes de disco, RAM, ficheros, documentos, etc.
deben estar acompañadas de su hash, ya que es la única forma de verificar que dicha
evidencia no ha sido alterada desde su adquisición.
• Correos electrónicos.
• Fotos digitales.
• Historial de navegación.
• Dispositivos de almacenamiento conectados.
• Usuarios y grupos del sistema.
• Logs del sistema y de los servicios.
• Tareas programadas.
• Ficheros de paginación.
Ilustración 5. F-Response
• Fecha y hora: Se deben obtener los datos temporales al principio y al final del
análisis para establecer la línea temporal.
• Información del sistema: Datos como la versión del sistema operativo,
hostname, tiempo de encendido y parches instalados.
• Usuarios: El usuario actual, así como los usuarios conectados al sistema.
• Configuración de red: El direccionamiento de red del sistema, protocolos,
vpns, etc.
• Información sobre procesos: Procesos y servicios en ejecución.
• Recursos de red compartidos: Los recursos de almacenamiento compartidos
puede ser de interés en el análisis forense.
• Tareas programadas: Es muy común que se utilice este servicio para
conseguir persistencia, sobre todo en infecciones por malware.
Dato Comando
Fecha date /t
Hora time /t
Hostname hostname
Versión ver
Entorno systeminfo
Conexiones de red
netstat -ano
activas
Peticiones DNS
ipconfig /displaydns
realizadas
Procesos tasklist -V
Ilustración 6. RegRipper
• LiME (Linux Memory Extractor): Es una herramienta open source que trabaja
a nivel de kernel del sistema y es compatible con sistemas basados en Linux.
El principal problema es que esta herramienta necesita ser compilada en la
maquina sobre la que se quiere extraer la RAM, ya que genera un módulo
que tiene que ser cargado en el kernel del sistema Linux. Como alternativa,
podemos compilar la herramienta en otra maquina utilizando la misma
versión del kernel y, posteriormente, copiarlo a la maquina objeto del análisis.
• Fecha y hora.
• Información del sistema (versión del sistema operativo, parches,
hostname, etc.).
• Usuarios del sistema.
• Configuración de red.
• Información sobre procesos.
• Recursos de red compartidos.
• Tareas programadas.
Dato Comando
Fecha y hora date
Hostname hostname
Red ifconfig -a
Versión del kernel uname -a
Uptime uptime
Versión de la
lsb_release -a
distribución
Usuarios conectados w
Conexiones de red
netstat -punta
activas
Tabla ARP arp -a
Procesos ps -aux
Ficheros abiertos lsof -n
Tareas programadas crontab -l
Particiones fdisk -l
Sistemas de ficheros mount
• BakAndlmgCD.
• Clonezilla Live.
• Parted Magic.
Ilustración 8. CloneZilla
o /cron.hourly/
o /etc/cron.daily/
o /cron.weekly/
o /cron.monthly/
o /etc/init.d/
o ~/.config/autostart/
o /etc/rc.d/
• Servicios del sistema. Es posible obtener una lista de todos los servicios del
sistema y su estado con el comando “sudo systemctl list-unit-files --type
service --all”
USO Y ESPECIALIZACIÓN
Volatility ha sido diseñada para la adquisición de artefactos digitales de los diferentes
tipos de memorias RAM. Las principales características que la hacen única en este tipo
de actividades son:
$ python vol.py
INSTALACIÓN
Si somos usuarios de distribuciones forenses, probablemente ya vengan provistas de una
instalación de Volatility. Si no es así, siempre podemos descargarla desde su repositorio.
Existen varias versiones y formas de instalación:
Una vez instalada/descargada tan solo tendremos que ejecutar el binario descargado o,
en el caso de la versión de desarrollo o código fuente, en consola a través del comando:
FUNCIONAMIENTO BÁSICO
La estructura básica de ejecución de Volatility sigue el siguiente patrón:
IDENTIFICACIÓN DE IMÁGENES
PSLIST Y PSTREE
Con los plugins “pslist” y “pstree” podemos listar los procesos del sistema, mostrando
datos básicos como el nombre del proceso, el ID, numero de hilos y fecha y hora de
cuando el proceso fue lanzado y cuando finalizó. La única diferencia es la presentación
de la información en formato lineal o en vista de árbol jerárquico.
Estos plugins no son capaces de detectar procesos ocultos del sistema, práctica habitual
usada por malware para ocultarse. El comando para listar los procesos es el siguiente:
PSSCAN PSXVIEW
Estos plugins también listan los procesos del sistema, pero tienen la peculiaridad de que
son capaces de identificar aquellos que intentan ocultarse, por ejemplo, aquellos que
han sido marcados como inactivos o no están enlazados.
Estos plugins son de mucha utilidad cuando se está haciendo un análisis forense de un
CONEXIONES DE RED
Otra información interesante que querríamos conocer es la relacionada con las
conexiones de red del sistema.
Existen varios plugins que permiten obtener esta información.
CONNECTIONS Y CONNSCAN
El plugin “connections” obtiene las conexiones TCP que se encontraban activas cuando
se realizó la adquisición de la imagen.
También es posible realizar un escaneo para encontrar aquellas conexiones que fueron
terminadas recientemente. Este plugin ofrece un plus de información, pero a veces puede
dar lugar a falsos positivos.
Los comandos asociados a estos plugins son:
En sistemas Linux existen otros plugins que podemos utilizar para analizar las conexiones
de red como, por ejemplo, “linux_ifconfig, linux_netstat, linux_netfilter, linux_arp, linux_list_
raw, linux_route_cache”.
REGISTRO DE WINDOWS
El registro de Windows almacena información sobre configuraciones del sistema y de
las aplicaciones, así como datos volátiles que van cambiando durante la ejecución de
los procesos.
El sistema necesita cargar en memoria el registro, o al menos las claves necesarias para
poder funcionar, por lo que podemos consultar aquellas claves que estaban en memoria
cuando se adquirió la memoria RAM.
Para consultar las claves principales del registro y su ubicación en disco, se realiza con el
plugin “hivelist” así:
Si quisiéramos obtener las subclaves de una clave superior, podemos listarlas con el
plugin “hivedump” y la dirección virtual de la clave principal de la siguiente forma:
También podemos buscar una clave concreta con el plugin “printkey”, si la clave buscada
ha sido cargada en la memoria, es posible que podamos identificarla:
• Malfind: Este plugin ayuda a buscar DLLs inyectadas en la memoria del usuario
u ocultas. Existen plugins más simples para listar DLLs, pero Malfind se centra
en la identificación de DLLs que han sido inyectadas a través de técnicas más
avanzadas. La comprensión de sus resultados requiere de conocimientos de
reversing y arquitectura a bajo nivel de las estructuras de datos.
• Yarascan: Con Yarascan podemos escanear la memoria RAM con “reglas
Yara” en busca de patrones relacionados con malware. Tradicionalmente,
Yara se ha usado para buscar malware en los discos del sistema, pero gracias
a plugins como Yarascan, también podemos usar Yara como extensión en
memorias RAM.
• Volatility-autoruns: No está incluido por defecto en el core de Volatility, pero
puede añadirse desde un repositorio. El objetivo de este plugin es identificar
mecanismos de persistencia del malware.
Existen muchos más plugins que aportan valor al análisis de malware y, si no encontramos
el adecuado, siempre podemos desarrollarlo.
• Adquisición física: Este método consiste en realizar una copia idéntica del
original, lo cual permite preservar todas las evidencias del dispositivo. Es
el método más empleado, pero a su vez, es un procedimiento complejo y
consume bastante tiempo.
• Adquisición lógica: A través de este procedimiento podemos realizar una copia
de los objetos del dispositivo utilizando las herramientas y aplicaciones nativas
utilizadas por el propio dispositivo para sincronizar datos y configuraciones
con otros equipos o dispositivos.
• Este procedimiento es bastante más sencillo y rápido, pero tiene el
inconveniente de que probablemente no podamos obtener todas las
evidencias que necesitamos.
• Adquisición del sistema de ficheros: Este método permite extraer los ficheros
visibles y accesibles del sistema a través de las propias herramientas. De esta
opción se descarta la obtención de las particiones y de los ficheros eliminados.
Es algo más sencillo que la adquisición física.
• En el caso de Android, podemos utilizar la herramienta Android Devide Bridge
(ADB) para realizar el copiado de los ficheros, incluso en ocasiones, permite
recuperar algún fichero eliminado recientemente.
• AFLogical OSE: Es una herramienta gratuita que tiene que ser instalada en el
dispositivo Android a través de una APK. Tras ejecutarla, recopila información de
interés del dispositivo, como el registro de llamadas, aplicaciones instaladas,
mensajería, etc. Esta información debe ser extraída del dispositivo mediante
otra herramienta.
• Andriller: Esta aplicación está diseñada para ser ejecutada en sistemas
operativos Windows. Es un framework que reúne varias herramientas forenses
para recopilar información variada del dispositivo, así como información
sobre aplicaciones de redes sociales y mensajería instantánea.
• WhatsApp Xtract: Es capaz de mostrar las conversaciones de WhatsApp en el
PC, pero antes hay que extraer la base de datos donde WhatsApp almacena
las conversaciones.
• Cellebrite Touch: Es una herramienta comercial muy conocida y completa.
Es capaz de interactuar con más de 6.000 terminales distintos y tiene una
interfaz muy sencilla de utilizar.
FUNCIONAMIENTO DE ADB
El funcionamiento de ADB es bastante sencillo, tras iniciar el cliente, el proceso intenta
localizar el servidor ADB en la misma máquina local, en el puerto 5037/TCP.
Si no existe un servidor en escucha, entonces levanta el proceso servidor en dicho puerto.
Una vez que el servidor se encuentra en ejecución, realiza un rastreo de puertos en busca
de los emuladores que ejecutan ADB. Los emuladores se mantienen en escucha dentro del
rango de puertos 5555-5585/TCP. Una vez detectado el emulador, realiza una conexión
con el puerto identificado.
Cuando la comunicación se encuentra activa entre el emulador y el dispositivo, el cliente
puede comenzar a enviar comandos para ser ejecutados en el dispositivo móvil sobre el
que estamos realizando el forense.
Los principales motivos por los que las organizaciones están interesadas en migrar sus
servicios a la nube son:
• Flexibilidad.
• Fácil y rápida recuperación ante desastres.
• Actualizaciones automáticas de software.
• Facilitan la movilidad geográfica de los clientes.
• Herramientas colaborativas.
• Seguridad y cumplimiento normativo.
• Cuidado del medio ambiente.
• Ahorro económico.
NUBES PRIVADAS
Al contrario que en las nubes públicas, las nubes privadas se basan en que la
infraestructura tecnológica pertenece al propio cliente y se ubican en su centro de datos.
La explotación del servicio cloud queda restringido, por tanto, al propio cliente, quedando
aislado el acceso de terceros a los recursos.
NUBES HÍBRIDAS
Las nubes híbridas están compuestas por al menos una nube privada y otra pública.
Aunque son infraestructuras diferentes e independientes entre sí, permiten la comunicación
entre ambas para facilitar la portabilidad de las aplicaciones y los datos. Generalmente
se llega a este nivel de computación en la nube cuando el cliente encuentra limitaciones
en su nube privada que necesita ampliar o mejorar.
MULTICLOUDS
Una multicloud consiste en la combinación de dos o más nubes del mismo tipo (privada
o pública).
De esta forma es posible combinar servicios en diferentes nubes, por ejemplo, cuando
nuestro proveedor cloud no dispone de una aplicación concreta en su catálogo de
servicios.
También podemos utilizar multicloud como sistema de alta disponibilidad o redundante.
ACCESIBILIDAD
La accesibilidad a los datos almacenados en la cloud representa un problema para
cualquier cliente. Las aplicaciones o plataformas de una cloud se implementan sobre
arquitecturas tecnológicas compartidas por multitud de usuarios y clientes. Por tanto,
deben existir medidas que restrinjan y aíslen los datos entre clientes.
Además, el propio proveedor tampoco debería tener acceso al contenido de dichos datos,
por lo que debemos cifrar la información almacenada, tal y como se ha comentado en
el punto anterior.
La ubicación de los datos almacenados influye en cómo puede llegar a ser su gestión.
Cada país tiene una legislación diferente y puede tener una importante repercusión, por
ejemplo, los proveedores de cloud, podrían tener acceso por ley a los datos almacenados,
algo que no se estaría dispuesto a permitir en otro país.
SEGURIDAD FÍSICA
Los servicios cloud también deben protegerse ante incidentes y catástrofes físicas.
REQUISITOS MÍNIMOS
Se deben definir unos requisitos mínimos a cumplir para poder realizar un análisis forense
en entornos cloud:
BOTNET MIRAI
Esta botnet fue detectada en 2016 y su objetivo eran los dispositivos IoT, principalmente
routers domésticos y cámaras IP de videovigilancia.
Este malware se aprovechaba de estos dispositivos para realizar ataques de denegación
de servicio distribuidos (DDos) bajo demanda a un objetivo concreto.
Mirai tenía la capacidad de comprometer dispositivos con sistemas operativos Windows
y Linux, por lo que su alcance cubría prácticamente todo el mercado.
Para hacerse con el control de los dispositivos IoT, simplemente rastreaba la red en busca
de dispositivos con credenciales de acceso por defecto (conocidos)). La mayoría de
estos dispositivos se venden con credenciales muy básicas y compartidas, como, por
ejemplo, “admin/admin”.
VPN FILTER
Es otra botnet que en 2018 impactó sobre los routers y NAS de multitud de fabricantes. El
grupo de hackers ruso Fancy Bear fue quien la desarrolló.
Este malware también tenía la capacidad de realizar ataques DDoS contra un tercero.
Además, descargaba un módulo en la maquina infectada con el que podía romper las
comunicaciones seguras entre el usuario y un sitio remoto (man in the middle).
Este ataque tenía un alto impacto en la confidencialidad, ya que le permitía espiar y
extraer información sensible de los usuarios, sin nombrar la afectación que podía tener el
Uno de los principales fabricantes de estos tipos de elementos es “Meross”, que está
especializado en domótica. Si tenemos en cuenta uno de sus dispositivos, por ejemplo,
el enchufe “Smart Plug”, un análisis forense estaría enfocado a realizar la adquisición y
análisis teniendo en cuenta sus características particulares (como hemos adelantado,
cada forense en IoT dependerá de las particularidades de cada dispositivo)
Para operar con “Smart Plug”, necesitaremos instalar su aplicación en nuestro dispositivo
móvil, en este caso, tendremos que realizar un forense al móvil y a la aplicación.
Si nos centramos en el propio dispositivo, este tendrá un direccionamiento IP asignado
para poder conectarse a la red e Internet.
Podemos lanzar una herramienta de análisis de puertos sobre la IP del dispositivo para
descubrir los servicios que está ejecutando. El “Smart Plug” dispone de un servidor web y
un telnet.
Podremos acceder al servidor web a través de un navegador, incluso podremos hacer
un descubrimiento de recursos, como la página de firmware o la de login y extraer la
configuración del dispositivo, así como los registros de logs si los tuviera.
Al servidor de telnet podemos conectarnos a través de un cliente telnet y, descubriremos
que el acceso no está protegido por contraseña en la mayoría de los casos. Una vez
dentro, podemos acceder a los directorios del sistema operativo y extraer todas las
evidencias que podamos.
• Índice general.
• Memoria.
• Anexos.
El índice general se utiliza para indexar y enumerar cada uno de los apartados y
documentos de los que consta el informe forense.
No existe una distinción diferente o especial para el índice, pudiéndose emplear un
formato donde se indique el número de página para cada entrada del índice, tal y como
estamos acostumbrados a ver en libros, revistas y otros informes.
FOREMOST Y SCALPEL
Foremost es una herramienta open source que fue desarrollada por la Oficina de
Investigaciones Especiales de las Fuerzas Aéreas estadounidenses. Se utiliza para
recuperar ficheros de sistemas de archivos a través de técnicas de “file carving”.
Scalpel fue desarrollada a partir de Foremost mejorando su eficiencia, también es open
source y funciona bajo sistemas GNU/Linux y Mac. Scalpel permite recuperar ficheros
eliminados en multitud de sistemas de archivos (FAT, NTFS, EXT, HFS+, etc.), también
mediante técnicas de “file carving”.
RECUVA
Recuva es un software de recuperación de ficheros eliminados que trabaja sobre sistemas
operativos Microsoft Windows. Es capaz de identificar ficheros en sectores del disco que
han sido marcados como espacio libre, recuperándolos rápidamente.
También tiene capacidad de buscar ficheros a través de file carving, lo que la convierte
en una herramienta muy versátil y empleada en análisis forense.
Su licencia es gratuita, pero con limitaciones. Existen otras versiones de pago que amplían
su alcance y características a un precio muy asequible.
Fig. 3. ProcMon
Otra plataforma con características similares y que actualmente está muy extendida
es Splunk. Esta herramienta está más enfocada a ciberseguridad, siendo utilizada
comúnmente como un SIEM.
2.25. Wireshark
Wireshark es un analizador de protocolos de red que permite analizar los paquetes
capturados en un tramo de la red.
Es una herramienta muy potente disponible para sistemas Windows, Linux y Mac.
Tiene una capacidad analítica muy alta y reglas de filtrado para realizar búsquedas
NETWORKMINER
NetworkMiner es otro sniffer de paquetes de red disponible para Windows. Esta
herramienta tiene la capacidad de filtrar y mostrar información valiosa enviada en los
paquetes de la red.
De una forma sencilla, analiza el tráfico capturado y es capaz de mostrar las imágenes
transmitidas, mensajes de chats y emails, credenciales, palabras clave, consultas DNS,
etc.
Sin duda, es una de las herramientas que debemos tener a nuestro alcance.
Para poder obtener información sobre una imagen digital, podemos hacer uso de
herramientas como las siguientes:
PRINCIPIO DE OBJETIVIDAD
El forense informático debe ser objetivo y además si su informe tiene como destino el
ámbito judicial, adicionalmente tiene la obligación de ser imparcial, con independencia
absoluta del requirente y si incluso es el mismo que abona sus honorarios con más motivo.
El no cumplimento de ese principio puede ocasionar nulidad de procedimientos judiciales
y la responsabilidad directa del perito/forense tanto penal y/o civil.
PRINCIPIO DE LEGALIDAD
Del carácter multidisciplinar de esta disciplina, se obliga a que el perito/forense conozca
la legislación vigente de sus actividades periciales y cumplir con los requisitos reflejados
en ella.
Debe ser preciso en sus matices, opiniones y resultados siempre de manera técnica pero
comprensible. No hacer bajo ningún concepto juicios de valor ni establecer hipótesis y
mucho menos dictaminar culpabilidades o responsabilidades.
Adicionalmente tiene que trabajar siempre con evidencia obtenida de manera legal y
autorizada.
Es importante que el acceso a la información sea explícitamente autorizado e incorporada
dicha autorización al informe directamente o por anexos.
PRINCIPIO DE IDONEIDAD
La evidencia debe ser auténtica, tener relevancia para el caso y reunir un número suficiente
de muestras. Si no se reúnen estos requisitos convendría no aceptar el encargo o solicitar
que se subsanen, por lo que antes de iniciar un procedimiento de análisis o cualquier otro
debe comprobarse que se reúnen los requisitos que conforman este principio.
El objeto pericial es el encargo concreto y detallado que nos hace la parte solicitante
sobre el alcance de nuestra investigación o pericial.
De forma básica este principio establece que la evidencia aportada por el juzgado o las
partes es útil e idónea para el objeto pericial solicitado.
Muchas veces, nos encontramos en el entorno judicial peticiones de informes con objetos
periciales poco detallados o genéricos y evidencia y/o parte documental escasa.
PRINCIPIO DE INALTERABILIDAD
Se debe realizar todo el proceso asegurando que la evidencia no ha sido manipulada
durante la pericia. La evidencia se preserva mediante la debida cadena de custodia, si
esta se realiza correctamente nos indicara en que punto de la misma ha sido manipulada
y se podrá identificar al responsable.
La forma más fácil de detectar una manipulación en la evidencia digital es el cálculo del
HASH en la recogida y su cálculo en la entrega. Si ambos valores HASH difieren la gestión
sobre la evidencia digital ha sido errónea, mal trabajada, y además invalida el proceso.
Por ello trabajaremos la inspección y análisis sobre clones íntegros de la evidencia nunca
sobre su original.
Podemos incluir a nivel de evidencia digital, que ésta comienza con el registro de lo
practicado y obtenido en las fases de Preservación y Adquisición, correctamente
identificado digitalmente gracias al cálculo de su función resumen o hash.
1. Trazabilidad:
• Fotografiar el lugar del hecho o filmar todos los elementos que se encuentran
en el área de inspección, desde la periferia hacia el área dubitada.
• Fotografiar los elementos informáticos, determinando en cuál de ellos efectuar
macrofotografía:
Ilustración 48. Recolección de evidencia digital según el equipo se encuentre encendido o apagado.
o Por tanto, una computadora que esté destinado a las labores de estación
forense debe cumplir una serie de requisitos mínimos y tener en cuenta
ciertas recomendaciones, que se detallan a continuación:
• Cámara digital.
• Multilector de tarjetas: SD, miniSD, microSD, ConpactFlahs y SIM.
• Cableado: cable USB, miniUSB, microUSB, USB3.0, USB type C y Lightning.
Componente Descripción
Procesador Intel Core I7- 9 generación
Placa base Gigabyte o Asus
RAM Minimo 64 GB
Disco SO SSD Maximo posible
capacidad
Almacenamiento 2 x WD Blue 4TB SATA3 (8TB)
Fuente de Alimentación Seasonic Focus + 650W 80
Plus Gold Modular
Caja Aluminio con ventilación
forzada
Lector Blu-Ray Siempre primeras marcas
La hoja de encargo con autorización del trabajo pericial: documento en el que se registra
el número de expediente del caso, el área, todos los datos del cliente o solicitante, las
condiciones económicas y en detalle el objeto y alcance de la prueba o análisis.
Además, es importante señalar de manera detallada la descripción técnica de los
dispositivos, su estado en el momento de entrada en el laboratorio, el contenido de este
Puesto que, dentro del ámbito del forense digital, cada caso y sistema son únicos, lo que
vamos a plantear son las estrategias más comunes que podemos utilizar en la mayoría
de los escenarios con los que nos encontraremos.
1. Fase de pre-análisis.
La fase de pre-análisis abarca desde el inicio del esquema hasta la verificación de firmas
de archivo, mientras que la fase de análisis abarca desde la búsqueda de keywords y
archivos de interés hasta la finalización.
2. Fase de análisis.
Durante la fase de análisis se realizan las operaciones necesarias para dar respuesta a
las preguntas que se nos plantean y que serán específicas del caso concreto.
Los pasos que daremos durante la fase de análisis son:
1. Búsqueda de palabras clave y archivos de interés.
2. Análisis del sistema operativo.
3. Análisis de las comunicaciones como el tráfico de red, los correos electrónicos, la
navegación web, etc.
4. El análisis de los archivos relevantes.
DESCOMPRIMIR ARCHIVOS
Descomprimir archivos y/o extraer archivos embebidos en otros nos permite analizar estos
archivos comprimidos o embebidos y poder aplicar sobre ellos búsquedas o filtrados.
Algunos tipos de archivos sobre los que vamos a trabajar son: archivos.ZIP,.RAR y otros
tipos de archivos comprimidos, así como archivos ofimáticos como.DOC,.DOCX,.PPT,.PPTX,
etc.
Además de los archivos comprimidos, un escenario en el que la extracción de archivos
embebidos es muy interesante es en la búsqueda de imágenes.
• VDI (VirtualBox Disk Image): formato de disco duro virtual utilizado por la
aplicación Virtual Box.
• VMDK (Virtual Machine Disk): formato de disco duro virtual utilizado por las
herramientas de VMWare.
• VHD o VHDX (Virtual Hard Disk): formatos de disco duro virtual utilizados por
Windows y por el entorno de virtualización Hyper-V.
• HDD (Parallels Hard Disk): formato de disco duro virtual utilizado por la
herramienta Parallels.
Para localizar estos discos duros virtuales, se puede realizar una búsqueda por extensiones
de archivo o una búsqueda por las firmas de los archivos.
Una cosa que debemos tener muy en cuenta es el algoritmo hash utilizado, puesto
que, si estamos realizando una comparativa entre algoritmos hash diferentes, nos será
imposible encontrar concordancia. Un ejemplo sería el tener en nuestra base de datos de
hashes, los hashes MD5 de archivos de interés e intentar compararlos con hashes SHA1.
El hash borroso se utiliza cuando lo que estamos buscando son archivos similares.
Principalmente, para la búsqueda de archivos de imagen, código fuente y muestras de
malware.
A grandes rasgos, este tipo de algoritmos lo que hacen es dividir el archivo en pequeños
trozos y calcular el hash de cada uno de ellos, estimando así la similitud entre las muestras.
De esta forma podemos conocer el porcentaje de similitud entre ambas.
Para comprobar si en los archivos que vamos a analizar coincide lo que la extensión
indica con el contenido del archivo, se realiza la verificación de firmas
.
/^[a-zA-Z0-9.!#$%&’*+/=?^_`{|}~-]+@[a-zA-Z0-9-]+(?:\.[a-zA-Z0-9-]+)*$/
^(?:4[0-9]{12}(?:[0-9]{3})?|[25][1-7][0-9]{14}|6(?:011|5[0-9][0-9])[0-9]{12}|3[47][0-9] {13}|3(?:0[0-
5]|[68][0-9])[0-9]{11}|(?:2131|1800|35\d{3})\d{11})$
identifier_page.html.
1. Nombre y versión del sistema operativo instalado, así como las actualizaciones.
a. ¿Es una versión no oficial, o hay alguna actualización que no lo sea?
3. Programas instalados.
a. ¿Hay programas que permitan realizar el hecho investigado?
Con el análisis de estos apartados, tendremos una idea general de lo que se puede o
no hacer con el equipo. Además de que gracias a los archivos de registro analizados
podremos obtener información sobre las acciones realizadas sobre el equipo.
Aunque muchas de las suites forenses que utilicemos nos permitirán obtener esta
3. Navegadores de Internet.
a. Dropbox.
b. Google Drive.
c. One Drive.
d. Etc
En esta etapa debemos tener en cuenta que, cuando analicemos los correos electrónicos,
los programas de mensajería instantánea o cualquier otro programa que pueda albergar
comunicaciones privadas entre personas, debemos tener cuidado de no incurrir en un
delito contra el secreto de las comunicaciones.
5. Sistemas operativos y
análisis forense
5.1. Análisis de un S.O. Windows
Todos los sistemas operativos manejan gran cantidad de información volátil, la cual
se pierde al apagar el equipo. Por lo tanto, únicamente vamos a poder recolectar esta
información si nos encontramos ante un equipo Windows encendido.
ARCHIVOS ABIERTOS
Conocer los archivos abiertos por los usuarios que han iniciado sesión en el equipo puede
aportar pistas muy importantes de cara a la investigación. Podemos, por ejemplo, ver los
archivos compartidos que un usuario remoto ha abierto, archivos que pueden contener
información confidencial que no debería salir de la organización.
De nuevo, una utilidad incluida en las SysInternals de Microsoft, PsFile, puede sernos de
utilidad en este caso. Además, los comandos net file y openfiles también van a aportarnos
información al respecto.
Otra opción sería ver los archivos abiertos por determinados procesos, pero eso lo
veremos más adelante.
Es necesario tener activada la opción «mantener lista de objetos» para poder ver los
archivos abiertos localmente.
NetBIOS es un protocolo de red (cada vez menos utilizado, pero todavía activo) que
permite a las aplicaciones comunicarse a través de la red.
nbtstat -c
Netstat es una herramienta en línea de comandos que muestra un listado con las
conexiones activas en un equipo, tanto entrantes como salientes.
Esta herramienta podemos ejecutarla con distintos parámetros, cada uno de los cuales
nos mostrará una información u otra.
Por ejemplo, si añadimos la opción «-r», podemos visualizar las tablas de enrutamiento
y rutas activas, mientras que con la opción «-o» podemos obtener los puertos y las
direcciones remotas con las que se está comunicando un proceso (obtenemos su PID).
PROCESOS EN EJECUCIÓN
Los procesos que se encuentran en ejecución y la manera en que estos han sido «lanzados»
son también importantes de cara a una investigación.
Process Explorer es otra utilidad de Microsoft incluida en las SysInternals que nos
permite ver el listado de procesos en ejecución en el equipo de manera mucho más
amigable.
Con Process Explorer vamos a poder ver los procesos y subprocesos, los parámetros de
ejecución de estos, las DLL utilizas, sus «punteros» (handles) en uso, etc.
Process Monitor es una herramienta de supervisión para Windows que muestra en tiempo
real la actividad del sistema de archivos, el registro, la red y los procesos.
Además, Process Monitor permite realizar un rápido filtrado de la información, lo que nos
permite centrarnos únicamente en el proceso sospechoso (por ejemplo, un keylogger) y
descartar el resto o analizar tan solo los archivos o las claves de registro que están siendo
accedidas y/o modificadas.
ListDLLs es una utilidad que nos muestra las DLLs cargadas por los procesos.
Podemos utilizarla para listar todas las DLLs cargadas en todos los procesos, en un
proceso específico; o, para listar los procesos que tienen una DLL cargada en particular.
Por ejemplo, cuando sospechamos de una DLL maliciosa. ListDLL también puede mostrar
la información de la versión completa de las DLL, incluida su firma digital, y puede utilizarse
para escanear procesos en busca de DLL no firmadas.
El registro de Windows es una gran base de datos jerárquica utilizado en los Sistemas
Operativos Windows con el fin de almacenar información necesaria para configurar el
sistema para los usuarios, las aplicaciones y los dispositivos de hardware.
• HKEY_LOCAL_MACHINE\SOFTWARE\Classes
• HKEY_CURRENT_USER\SOFTWARE\Classes) dentro del registro
de Windows y cada una de estas claves se almacena en uno o
varios archivos distintos.
Las claves son:
• HKEY_CURRENT_USER.
• HKEY_LOCAL_MACHINE.
• HKEY_USERS.
• HKEY_CURRENT_CONFIG.
• %SystemRoot%\System32\Config.
SYSTEM/CurrentControlSet/Enum/USBSTOR y /USB.
SYSTEM/MountedDevices.
NTUSER.DAT/Software/Microsoft/Windows/CurrentVersion/Explorer/
MountPoints2 (por cada usuario del sistema).
Además, fuera del registro de Windows también podemos encontrar esta información en
el archivo: Windows/inf/setupapi.dev.log.
Como analizar y dar sentido a todos estos artefactos puede llevarnos un tiempo, lo más
• HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\
Explorer\Map Network Drive MRU.
Además, la clave:
NTUSER.DAT/Software/Microsoft/Windows/ CurrentVersion/Explorer/MountPoints2, que
nos sirve para obtener información sobre los dispositivos USB conectados, también
registra las unidades mapeadas.
Además, también podemos obtener el listado de recursos compartidos accediendo a la
clave:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\LanmanServer\Shar es.
APLICACIONES DE INICIO
Normalmente, las aplicaciones que se inician con el sistema pueden encontrarse en
varias ubicaciones:
Para analizar las aplicaciones que se inician con el equipo, lo más sencillo es utilizar
herramientas de terceros como WhatInStartup, de Nirsoft, Autoruns, perteneciente a las
SysInternals o scripts que automatizan esta tarea.
Otros elementos de interés dentro del Registro de Windows:
• Zona horaria
o SYSTEM\ControlSet###\Control\TimeZoneInformation.
EL REGISTRO DE EVENTOS
El registro de eventos es en realidad un conjunto de archivos especiales donde se registran
los eventos que se producen en el sistema.
En el registro de eventos podemos ver, por ejemplo, cuando un usuario inicia y cierra
sesión, cuando se cambia la hora del sistema o cuando se conecta y desconecta un
dispositivo.
A partir de Windows Vista, el registro de eventos está compuesto por un gran número de
archivos con extensión EVTX ubicados en la ruta: Windows\System32\winevt\Logs\.
De todos los archivos que componen el registro de eventos —salvo que estemos buscando
eventos de alguna herramienta en particular—, los archivos más relevantes, desde un
punto de vista forense, son:
• Application.evtx.
• Security.evtx.
• System.evtx.
Los archivos de eventos almacenan, de cada evento, al menos la siguiente información:
Para su análisis, suelen emplearse herramientas que nos permiten automatizar algunas
tareas, realizar búsquedas y aplicar filtros. Las herramientas más comúnmente utilizadas
suelen ser: Event Log Explorer y Logparser.
Aunque también es posible utilizar herramientas tipo SIEM (Security Information and
Event Management) como ManageEngine Event Log Analyzer o LOGAlyze, entre otras.
Analizando los eventos del archivo de eventos de aplicación, podemos ver registros de
aplicaciones que se han ejecutado y de aplicaciones que han provocado algún error
durante su ejecución.
Esto nos puede ayudar a ver en qué momento se ejecutaron determinadas aplicaciones
y desde qué ruta fueron ejecutadas (por ejemplo, desde un dispositivo externo o desde
una unidad de red).
ACTIVIDAD RECIENTE
Aunque utilizando Autopsy y el plugin específico podemos ver la actividad reciente del
usuario, siempre es bueno conocer de dónde podemos obtener manualmente esa
información.
En el siguiente vídeo, veremos el registro de Windows y el registro de eventos: VIDEO
Principalmente tenemos tres vías:
• Las UserAssist Keys.
• Las MRU Lists (Most Recently Used Lists).
• Archivos Prefetch.
Aunque como ya hemos visto, los eventos del sistema operativo también nos pueden dar
información muy relevante al respecto.
USERASSIST KEYS
Como siempre, la mejor manera de analizar estas listas de últimos archivos, programas
o carpetas abiertas es utilizar herramientas que nos automaticen la extracción de la
ARCHIVOS PREFETCH
Cuando un archivo se ejecuta de manera repetida Windows genera un archivo prefetch
(.pf) que es algo así como un archivo pre-cargado, un archivo que agiliza la carga del
archivo original. De esta forma, el Sistema Operativo se inicia con mayor velocidad y los
programas que comúnmente utilizamos cargan más rápido.
Los archivos prefetch nacen con Windows XP, y se mantienen hasta el actual Windows.
Pero, además de estos, con Windows Vista nacen los SuperFetch, que incrementa aún
más el rendimiento ya que se crea una cache de ficheros a los que cada aplicación
accede más frecuentemente.
Para saber si un equipo tiene habilitado el prefetch, debemos acceder a la entrada
del registro: SYSTEM\ControlSet001\Control\Session Manager\Memory Management\
PrefetchParameters.
Hay tenemos la clave «EnablePrefetcher», la cual tendrá un valor entre 0 y 3, lo cual indica:
• 0: deshabilitar Prefetch.
• 1: habilitar Prefetch de inicio de aplicaciones.
• 2: habilitar Prefetch de inicio del sistema.
• 3: habilitar Prefetch de inicio de aplicaciones y de inicio del
sistema (valor por defecto).
PAPELERA DE RECICLAJE
Cuando se elimina un archivo, este no se borra físicamente, sino que se envía a la papelera
de reciclaje o se marca como borrado.
Esto nos permite a los forenses recuperar archivos eliminados utilizando herramientas
específicas como FTK Imager, Encase o Winhex para recuperaciones sencillas y Recuva,
Photorec o R-Studio para recuperaciones en bruto.
Cuando un archivo se envía a la papelera de reciclaje, el archivo no está borrado, tan solo
se ha movido a una carpeta «especial» que tendremos que analizar.
La papelera de reciclaje en los Sistemas Operativos Windows modernos se encuentra en
la raíz del dispositivo dentro de la carpeta «$Recycle.Bin». En esta carpeta se encuentran
La estructura que sigue cada una de las entradas de este archivo es la siguiente:
Que en la columna password tengamos una «x» quiere decir que la contraseña está
encriptada, y que se almacena en el archivo «/etc/shadow», de acceso restringido.
ARCHIVOS ABIERTOS
Como ya hemos mencionado, conocer los archivos abiertos por los usuarios que
han iniciado sesión en el equipo puede aportar pistas muy importantes de cara a la
investigación.
En Linux, para poder ver la lista de archivos abiertos, podemos utilizar el comando «lsof»
(List Open Files). Este comando nos ayudará a encontrar todos los archivos abiertos
asociados a puertos, servicios y procesos.
Cuando se está investigando un incidente, las trazas de las comunicaciones de red suelen
ser una gran fuente de información. Sobre todo, en casos relacionados con infecciones
por malware, fugas de información o incidentes de seguridad.
En estos casos, cuanta más información tengamos sobre la arquitectura de la red y sobre
las comunicaciones establecidas (y quién las ha establecido), mucho mejor.
PROCESOS EN EJECUCIÓN
Los procesos que se encuentran en ejecución y la manera en que estos han sido «lanzados»
es también importante de cara a una investigación.
Analizando los procesos en ejecución podemos saber, por ejemplo, si se están utilizando
los recursos de la empresa para minar criptomonedas o si algún equipo está infectado
con un software malicioso.
Como hemos comentado antes, la manera más sencilla de ver los procesos en ejecución
es a través de los comandos que nos proporciona el propio Sistema Operativos como
«ps» o «pstree» y el comando «top», que nos permite ver el estado actual de la máquina,
sus procesos y los usuarios que los han lanzado.
Si quisiéramos adquirir la información del proceso con PID 6, tan solo tendríamos que
acceder a la carpeta «/proc/6/» donde encontraríamos una serie de subcarpetas y
archivos con distinta información sobre el proceso.
Algunos de los archivos de interés que podemos encontrar son:
Un archivo que suele ser interesante dentro del directorio «/proc» es el archivo «/proc/
cmdline», el cual nos muestra los parámetros pasados al kernel durante el arranque
(ejemplo, Malware ejecutándose en el arranque).
Por su parte, en «/proc/mounts», también podemos encontrar información interesante,
ya que nos muestra todos los puntos de montaje en uso. Como es un directorio bastante
complejo y lleno de información de interés, la recomendación es que siempre que
os encontréis una máquina Linux encendida le echéis un vistazo y adquiráis toda la
información que pudiera ser de interés.
ARCHIVOS DE LOG
Los archivos de log de Linux (al igual que en cualquier otro SO) almacenan información
sobre las actividades realizadas en el sistema. Los podríamos asimilar a los archivos de
eventos que vimos para sistemas Windows.
• /var/log/auth.log (o /var/log/secure).
• /var/log/daemon.log.
• /var/log/syslog (o /var/log/messages).
• Otros archivos de log específicos de algunas
aplicaciones que fueran de interés (ej. Mysql,
apache, etc.).
• /var/log/auth.log (o /var/log/secure).
El análisis del archivo «auth.log» puede aportarnos información sobre intentos de inicio
de sesión fallidos, ataques por fuerza bruta o intentos de explotación de vulnerabilidades
relacionadas con el mecanismo de autorización.
/var/log/daemon.log
Registra los eventos generados por los demonios en segundo plano. Por lo general, los
procesos y/o servicios en segundo plano mantienen logs de gran valor relacionados con
las actividades de un usuario.
También debemos tener en cuenta que algunos programas (por ejemplo, MySQL)
registran los logs de sus servicios en segundo plano en archivos específicos.
/var/log/syslog (o /var/log/messages)
Contiene mensajes generales del sistema. Se utiliza, principalmente, para registrar
información y mensajes no críticos lanzados por el sistema.
Podemos obtener información sobre errores durante el inicio del sistema o errores
relacionados con las aplicaciones, por lo que suele ser un buen punto de partida cuando
algo no funciona correctamente.
En este archivo podemos ver también los parámetros con los que se ejecutan determinados
demonios.
Una de las maneras más comunes para programar tareas es utilizar «crontab». Mediante
«crontab» podemos configurar un «cron» e indicar el momento en que ejecuta, el
comando o script y el usuario que lo ejecutará (debe tener privilegios).
Por un lado, los ficheros crontab —en los que podemos ver los «cro» configurados
para cada usuario— se guardan en: /var/spool/cron/crontabs/[USUARIO].
También podemos encontrar archivos crontab en el directorio «/etc/cron.d».
Por otro lado, tenemos también un archivo crontab general que podemos
encontrar en: «/etc/crontab». Este crontab general es el que «lanza» los scripts
ubicados en los directorios del tipo «/etc/cron.[PERIODICIDAD]» que veremos
más adelante.
Como vemos, el cron anterior se ejecuta todas las horas a los 10 minutos, y lanza un script
en perl de nombre sospechoso (xxcrFWrZMH). Probablemente, un malware.
La salida del script la redirige a /dev/null para que no quede registrada en ningún sitio.
Tareas programadas: /etc/cron.[PERIODICIDAD]
La segunda manera de usar «cron» consiste en añadir el script a alguno de los directorios
del tipo «cron.[PERIODICIDAD]» ubicados en «/etc/». Estos directorios suelen ser: cron.hourly,
cron.daily, cron.weekly y cron.monthly.
Cualquier script que copiemos en los directorios indicados se ejecutará con la periodicidad
de dicho directorio (cada hora, cada día, cada semana o cada mes en el ejemplo anterior).
Los scripts de estos directorios comienzan por «#!/bin/sh», lo que indica que se trata de
un script Shell de bash. El resto del contenido es el código del propio script.
ARCHIVOS ABIERTOS
Como ya hemos mencionado, conocer los archivos abiertos por los usuarios que
han iniciado sesión en el equipo puede aportar pistas muy importantes de cara a la
investigación.
En MacOS (como también podemos hacer en Linux), para poder ver la lista de archivos
abiertos podemos utilizar el comando «lsof» (List Open Files).
Este comando nos ayudará a encontrar todos los archivos abiertos asociados a puertos,
servicios y procesos.
PROCESOS EN EJECUCIÓN
Recordemos que la manera más sencilla de ver los procesos en ejecución es a través de
los comandos que nos proporciona el propio Sistema Operativo como «ps» o el comando
«top».
• /var/log/system.log
• /var/log/install.log
• Otros archivos de log específicos de aquellas aplicaciones que fueran de
interés para la pericial (ej. Mysql, apache, etc.)
Para visualizar estos archivos, podemos utilizar cualquier editor de texto plano (en el caso
de Plist en formato XML) o herramientas específicas como: Plist Explorer, PlistEdit Pro o Plist
Pad, entre otras.
Una ruta muy interesante para analizar archivos Plist es la carpeta de preferencias de los
usuarios ubicada en la ruta: $HOME/Library/Preferences/.
Puede observarse cómo la matriz permitirá obtener una traza de todos los movimientos
realizados con la evidencia, reflejando en todo momento la persona que realiza la entrega,
y la persona responsable a partir del momento de recibir la evidencia y quedar a cargo
de la misma. Es importante también asegurar que el estado de esta y el HASH no varía a
lo largo de toda la cadena de custodia.
La cadena de custodia es el nombre que recibe el conjunto de actos que tienen por
objeto la recogida, el traslado y la custodia de las evidencias obtenidas en el curso
de una investigación criminal y que tienen la finalidad de garantizar la autenticidad,
inalterabilidad e indemnidad de la prueba.
Evidentemente, debe existir una autoridad competente que será la que, después de
realizar los análisis oportunos, determine cuales son las normas de procedimiento a
seguir y a quién le afecta y está obligado a cumplir las mismas.
En cuanto a quién valida y dice que estas normas de procedimiento son las adecuadas
para conseguir el fin establecido, entramos en todo lo que hace referencia a un sistema
de calidad y acreditación.
Así, en los últimos años este sistema de calidad ha desembocado en la acreditación
de las actuaciones de los laboratorios de biología-ADN, y análisis químicos de drogas
estudio y tratamiento de huellas latentes, etc. Proceso éste, de acreditación, que se irá
extendiendo en un futuro inmediato a la práctica totalidad de las áreas de actuación de
policía científica.
Dentro de esta actuación en la escena del delito, las normas de procedimiento establecidas
van de la mano de la cadena de custodia.
Por lo tanto, todos estos pasos internos y externos deben quedar reflejados de forma
documental, de tal manera que exista una «trazabilidad» de todo el proceso que sigue
un indicio o muestra. Inicialmente, y de forma detallada, deben constar en el Acta de
Inspección Ocular o en el acto de comparecencia y posteriormente mediante los
oportunos oficios de remisión o impresos de entrega y recogida, de tal manera que exista
una «cadena» que permita identificar todos estos movimientos de entrega y recogida
del indicio y su almacenaje durante todo el proceso de análisis y estudios que se realizan
sobre él, hasta que concluyen los mismos, protegiéndolos contra la contaminación,
adulteración, sustracción, intercambio o destrucción. Es necesario dejar constancia
finalmente dónde y en qué condiciones queda el indicio o muestra.
Pieza importante de todo este proceso es la realización de la Inspección Ocular
Técnico Policial, actuación básica que, como no podía ser menos, está perfectamente
protocolizada, conforme a unas normas de procedimiento generales, que comprende
esencialmente las siguientes fases de actuación:
Cuando se realiza una Inspección Ocular Técnico Policial, hay que ser consciente de
que es el inicio de todo el proceso de cadena de custodia anteriormente indicado y
sobre el que se va a sustentar todo el resto del proceso. De nada sirve que se tengan
DE FORMA DOCUMENTAL
Consistente en la realización de un Acta de Inspección Ocular Técnico Policial, con sus
formatos y requisitos de procedimiento, tales como:
DE FORMA GRÁFICA
Consistente en aportar las imágenes necesarias para ver todo aquello que en el Acta
de Inspección Técnico Policial se está describiendo, tales como reportajes fotográficos,
grabaciones videográficas, grabaciones de audio, planos y croquis y reconstrucción o
visualización de la escena del crimen mediante la utilización de grabaciones realizadas
en tres dimensiones (3D), mediante la utilización de escáneres láseres.
La evidencia digital tiene como objetivo principal: recolectar evidencia digital presente
en toda clase de infracciones en los delitos Informáticos.
Los objetivos específicos son: