CIBERSEGURIDAD EN REDES

TALLER 2

Por:

Andrea Estrada Cárdenas

Valentina Padilla Boya

Mateo Ríos Bedoya

Profesor:

Julián Andrés Naranjo Londoño

INSTITUTO TECNOLÓGICO METROPOLITANO

FACULTAD DE INGENIERÍA

ESPECIALIZACIÓN EN CIBERSEGURIDAD

MEDELLIN

2024
TALLER EVALUATIVO 2

Tabla de Contenido

OBJETIVO ........................................................................................................................................ 3
ENUNCIADO .................................................................................................................................... 4
PAUTAS Y DESARROLLO ................................................................................................................. 5
CONCLUSIONES ............................................................................................................................ 20
REFERENCIAS BIBLIOGRÁFICAS .................................................................................................... 21

2|Página
TALLER EVALUATIVO 2

OBJETIVO

Afianzar los conceptos básicos relacionados con los tipos de amenazas, ataques y vulnerabilidades,
en el marco de la gestión del riesgo, a partir del análisis de protocolos y comportamiento del tráfico
de la red.

3|Página
TALLER EVALUATIVO 2

ENUNCIADO

Como consultor en Ciberseguridad de Redes, le han solicitado que analice el archivo PCAP anexo
(Taller2.pcapng), con el fin de determinar si se ha estado presentado alguna situación anómala en
una red corporativa.

4|Página
TALLER EVALUATIVO 2

PAUTAS Y DESARROLLO

1. ¿Cuáles son los paquetes que más se presentan en la captura? ¿Qué protocolo se observa
como el más preponderante? Indique el origen y destino de dichos paquetes.

De los 1087 paquetes que componen la totalidad de la traza, la mayor cantidad de paquetes
presentes, son los denominados “Echo request”.
El protocolo más preponderante es: ICMP
El origen de los paquetes es un equipo con IP: 192.168.153.129, ya que se visualiza es quien
envía primero la solicitud de “request”.
El destino de los paquetes es un equipo con IP: 192.168.153.130, es quien responde con un
“reply”

2. Agregue en Wireshark una columna que permita ver el campo “UTC Time date, as YY-MM-
DD, and time”.
Para realizar este proceso:
1. Se da clic en la parte superior del programa y se le da clic en “Visualizar” en la barra de
Menú.
2. Se selecciona “Formato de visualización de fecha”
3. En el Submenú se selecciona “fecha y hora de día UTC (1970-01-01 01:02:03. 123456)

Figura 1. Columna “UTC Time date, as YY-MM-DD, and time”.

5|Página
TALLER EVALUATIVO 2

3. Diríjase a la pestaña “Statistics” y escoja la opción “Capture Files Properties”. ¿Qué detalles
relacionados con el archivo de la captura podemos ver?

Figura 2. Propiedades de archivo de captura.

6|Página
TALLER EVALUATIVO 2

Detalles:
Archivo:
Nombre: Podemos observar la ubicación del archivo, su nombre y extensión.
Tamaño del archivo para el caso es: 94 Kb
Hashes: Son las llaves únicas asignadas para este archivo, en sus dos versiones SHA1 y
SHA256, los cuales cumplen su función de identificador único en el sistema.
Formato: Se repute la información de la extensión del archivo que para el caso es: pcapng,
un archivo para lectura desde wireshark.
Encapsulado: Ethernet – protocolo de capa de enlace.
Intervalo:
Podemos encontrar información la fecha y la hora en la que se ejecuto la captura de
paquetes y el tiempo que tomo; para este caso nos indica que la captura fue realizada el 18
de enero del año 2019 entre las 12:58:34 y las 13:01:29, con una duración de 00h 01m y
55s.
Captura:
En este apartado, encontramos información propia del hardware donde se ejecutó la
captura, también el sistema operativo instalado y desde que herramienta fue hecha la toma;
para el caso, se confirma que se trata de un procesador Inter core i7 con un SO Windows 10
de 64bits y la captura se realiza desde Dumpcap (Wireshark 2.6.6)

Interfaces:
Encontramos información de la interfaz de red utilizada en la captura, muestra que no se
presentó perdida de paquetes, que no se utilizó ningún filtro, que el tipo de enlace entre los
dispositivos conectados es Ethernet y por último el tamaño máximo de paquetes aceptado:
65535 bytes.
Estadísticas:
Dividido en columnas de Medida, Capturado, Mostrado y Marcado.
Encontramos detalles de los paquetes capturados: 1087, los mismos son mostrados en la
captura, con un espacio de tiempo de 115.365 y un promedio de paquetes por segundo de
9.4, con un tamaño promedio de 53 bytes para un total de 58049 bytes, finalmente nos
muestra el promedio de bytes y bits por segundo, que para el caso fueron: 503 y 4025
respectivamente.
Sin comentarios registrados en el archivo de captura.

7|Página
TALLER EVALUATIVO 2

4. ¿Ahora escoja la opción “Endpoints” y determine qué le permite determinar esta opción?
Confronte lo que ha observado con la visualización que permite la opción “conversations”.
¿Qué puede confirmar a través de esta opción?

Figura 3. Visualización de equipos finales vs conversaciones.

Desde “Endpoints” podemos visualizar los equipos finales que presentaron registros en los
diferentes tipos de protocolos encontrados en la captura de paquetes; para el caso, en la pestaña
Ethernet, encontramos direcciones MAC de los equipos que hicieron uso de dicho protocolo,
igualmente para la pestaña de IPv4 que nos muestra las IP, protocolo UDP con sus respectivos
puertos empleados, entre otros y en cada uno nos muestra el numero de paquetes y btes enviados
y recibidos.
A sí vez, desde la pestaña “conversations” podemos visualizar de forma mas textual la secuencia de
comunicación empleada en la captura, como los equipos están estableciendo una comunicación a
través de los diferentes protocolos; muy similar a lo observado desde “Endpoints” pero con un grado
de detalle mayor ya que ilustra un origen un destino y la dirección en la que se hace la comunicación,
además de la información de paquetes y bytes enviados y recibidos.

5. ¿Qué nota de extraño en lo que ha logrado identificar? Tip: Use el filtro icmp.type == 8
¿Puede mejorar su apreciación con el uso de este filtro? ¿Cuántos paquetes se muestran al
aplicar este filtro?

8|Página
TALLER EVALUATIVO 2

Figura 4. Echo request vs Eco reply.

Luego de identificar que el protocolo preponderante es ICMP y que se está ejecutando desde un
dispositivo con SO Windows, salta a la vista la primer anomalía en la captura que se está analizando;
estos paquetes no tienen “Payload” o viene con “00”, algo que no es usual ya que al replicar un envío
de paquetes bajo este protocolo en dispositivos Windows con un “Ping” se determina que el
“Payload” viene con cargado con las letras del abecedario.

Además, podemos identificar que una sección de la captura presenta error de que el destino no fue
encontrado pero el tamaño de los paquetes es aun mayor al resto, así también se identifica que en
dichas tramas, si hay presencia de data en el “Payload”.

Al ejecutar el filtro icmp.type == 8, identificamos que hay 510 paquetes echo-request enviados entre
la dirección IP 198.168.153.129 hacia el equipo 198.168.153.130.

9|Página
TALLER EVALUATIVO 2

6. De forma similar al punto anterior, aplique el filtro icmp.type == 0

Complemente sus hallazgos, con base en este filtro.
¿Cuántos paquetes se muestran al aplicar este filtro?

Finalmente al ejecutar el filtro icmp.type == 0; identificamos que el total de paquetes enviados de

echo-reply es de 508, esto denota que hay una diferencia de 2 paquetes, lo que lleva a pensar que
se presenta una perdida en conexión en la comunicación entre ambos dispositivos sobre los que se
está ejecutando la captura de paquetes.

7. Recuerde que los paquetes echo-request y echo-reply que hacen parte del protocolo ICMP,
tienen como propósito fundamental verificar conectividad a nivel de red comprobando que
un destino (host) se encuentra “vivo” en la red. Cuando se envía un paquete de petición
echo-request se recibe un echo- reply que confirma que el destino es alcanzable y se espera
que por cada paquete de petición echo-request se debe recibir un paquete de respuesta
echo-reply. Confirme de acuerdo con los resultados de los puntos 5 y 6, si se observa este
comportamiento esperado en cuánto a la cantidad de paquetes echo-request y echo-reply
contabilizados.

Retomando lo documentado en el numeral anterior y lo indicado en el presente numeral se confirma

que hay una anomalía durante el protocolo ICMP evidenciado en la presente captura, pues no se
cumple la norma de que a cada echo-request hay un respectivo echo-reply; para el caso tenemos 2
paquetes sin su respectivo reply.

8. ¿La cantidad de paquetes encontrados, podría ser enviada con algún propósito?
¿Se puede caracterizar hasta aquí algún tipo de ataque?

Como analistas de seguridad de la información, con la información observada hasta el momento no

se puede concluir un posible ataque, pero se considera una posible actividad de reconocimiento, ya
que son múltiples paquetes enviados bajo el mimo protocolo y denota una intención de conocer si
la victima cuenta con algún servicio o puerto a la escucha para proceder con un ataque posterior.

9. Consulte qué es un “DOS Attack” y un “ping de la muerte”

DOS ATTACK, Un ataque de denegación de servicio (DoS) es un tipo de ciberataque en el que un

actor malicioso tiene como objetivo que un ordenador u otro dispositivo no esté disponible para
los usuarios a los que va dirigido, interrumpiendo el funcionamiento normal del mismo. Los
ataques DoS suelen funcionar al sobrecargar o inundar una máquina objetivo con solicitudes hasta
que el tráfico normal es incapaz de ser procesado, lo que provoca una denegación de servicio a los
usuarios de la adición. Un ataque DoS se caracteriza por utilizar un único ordenador para lanzar el
ataque. (CloudFlare, s.f.)

10 | P á g i n a
TALLER EVALUATIVO 2

Figura 5. Modelo de Interconexión de sistemas abiertos (OSI)

Clasificación de los ataques DDOS

Mientras se consideran las técnicas de mitigación contra estos ataques, es útil agruparlos en
ataques a capas de infraestructura (Capas 3 y 4) y capas de aplicación (Capas 6 y 7).

Ataques a la capa de infraestructura

Los ataques a las capas 3 y 4, en general, están clasificados como ataques a las capas de
infraestructura. Además, son los ataques DDoS más comunes e incluyen vectores como
inundaciones sincronizadas (SYN) y otros ataques como inundaciones de paquetes de datagramas
de usuario (UDP). Estos ataques, en general, tienen gran volumen y apuntan a sobrecargar la
capacidad del servidor de la red o de la aplicación. Pero, afortunadamente, son un tipo de ataque
que contiene firmas claras y son fáciles de detectar.

Ataques a la capa de aplicación

Los ataques a las capas 6 y 7 se clasifican como ataques a las capas de aplicación. Mientras que
estos ataques son menos comunes, tienden a ser más sofisticados. Estos ataques son, en general,
más pequeños en volumen en comparación con los ataques a las capas de infraestructura, pero
tienden a focalizarse en partes específicas y costosas de la aplicación e impiden que esté disponible
a los usuarios reales. Por ejemplo, una inundación de requerimientos de HTTP a una página de
inicio de sesión o a una búsqueda costosa de una API o incluso inundaciones Wordpress XML-RPC
(también conocidas como ataques pingback Wordpress). (Amazon Web Services, s.f.)

PING DE LA MUERTE, El ataque ping de la muerte (en inglés, ping of death attack), uno de los
ataques más antiguos de Internet, producía la caída inmediata de los sistemas vulnerables.
Afortunadamente, dejó de tener efecto en la mayoría de los dispositivos alrededor del año 1998.

El ataque ping of death utiliza el protocolo de mensajes de control de Internet (ICMP), aunque, en
principio, también puede emplear otros protocolos basados en IP. Puesto que los sistemas
modernos están protegidos contra el ping de la muerte, los piratas informáticos de hoy en día
tienden a utilizar, en su lugar, el emparentado ping flood para perpetrar sus ataques. (S.L.U., s.f.)

11 | P á g i n a
TALLER EVALUATIVO 2

10. Revisemos con mayor profundidad, ¿Qué contienen los paquetes en el payload (carga
útil)? Contraste el resultado hallado en el payload de los paquetes anómalos respecto a lo
que debe llevar el payload de paquetes ICMP que no han sido manipulados.

Figura 6. Payload de protocolo ICMP.

Figura 7. Payload de paquetes anómalos.

Como se había anotado en numerales anteriores, se detecta que los paquetes enviados bajo el
protocolo ICMP llegan con un “payload” sin información, pero para los paquetes enviados que se
catalogan como anómalos, es posible evidenciar que si cuentan con una data en su carga útil; el
contraste que se pudo encontrar es que en un paquete anómalo tiene el payload más grande que
los normales.

11. Como pudo apreciarse en el punto anterior, debido a la cantidad de paquetes registrados en
la captura, no es muy práctico revisar el payload de manera manual para cada uno de estos.
Por lo cual se empleará la herramienta Tshark, que puede ser instalada a través de Wireshark
al tratarse del componente que permite emplear la mayoría de las funcionalidades de la

12 | P á g i n a
TALLER EVALUATIVO 2

herramienta, pero a través de línea de comandos. En este punto es útil consultar sobre la
herramienta Tshark y cómo se emplea. Registre la consulta realizada.

https://www.wireshark.org/docs/man-pages/tshark.html

TShark, es un analizador de tráfico de red de línea de comando que permite capturar datos
de paquetes desde una red activa o paquetes de lectura de un archivo de capturas guardado
anteriormente, mediante la impresión de un formulario decodificado de dichos paquetes a
la salida estándar o mediante la escritura de los paquetes en un archivo. Sin otras opciones,
TShark funciona de forma similar al comando tcpdump y también utiliza el mismo formato
de archivo de captura activa, libpcap. Además, TShark es capaz de detectar, leer y escribir
los mismos archivos de captura que los que son compatibles con Wireshark. (oracle, 2014)

Formas de emplearlas:

- Captura de paquetes: TShark puede utilizarse para capturar paquetes de red en tiempo
real. Por ejemplo, para capturar paquetes de la interfaz de red “eth0”, usando el siguiente
comando: tshark -i eth0

- Filtrado de paquetes: TShark permite filtrar los paquetes capturados en función de varios
criterios, como protocolo, dirección IP, puerto, etc. Por ejemplo, para capturar solo los
paquetes ICMP, puedes usar el siguiente comando: tshark -i eth0 icmp

- Análisis de archivos de captura: TShark puede analizar archivos de captura previamente

realizados. Por ejemplo, para analizar un archivo de captura llamado “captura.pcap” y
mostrar solo los paquetes HTTP, puedes usar el siguiente comando: tshark -r
captura.pcap -Y "http"

-Estadística de captura: TShark puede generar estadísticas sobre el tráfico capturado, como
el número total de paquetes, los protocolos utilizados, etc. Por ejemplo, para mostrar
estadísticas generales sobre el tráfico capturado en tiempo real en la interfaz “eth0”,
puedes usar el siguiente comando: tshark -i eth0 -qz io,stat,0,"COUNT()"

Listar las interfaces de red disponibles Resolución de nombres en tshark.

numeradamente e indicar cual utilizar.
# Deshabilita la resolución de
tshark -D nombres de objetos como IPs,
puertos, etc.
# Capturar en la interfaz tshark -n
indicada, el número corresponde
al listado. "any" corresponde a -N m # Resolver dirección MAC
todas las interfaces. -N n # Resolver nombres
tshark -i ens32 / tshark -i1 usando las resoluciones de la
captura.
-N N # Resuelve utilizando
Obtener información sobre una captura DNS.
pcap. –N t # Resolver nombres de
puertos.
capinfos fichero.pcap -N d # Ressolver IP.

13 | P á g i n a
TALLER EVALUATIVO 2

Abrir una captura pcap. Especificar condiciones temporales en las

capturas.
tshark -r fichero.cap
-c n Termina la
Permite obtener la salida estándar (-P) a la captura después de capturar n
vez que se crea un fichero pcap (-w), el paquetes.
-a duration:n Termina la
comentario es algo optativo. captura después de n segundos.
-a filesize:n Termina la
tshark -P -w fichero.pcap -- captura después de que el
capture-comment "Comentario" fichero de captura llegue a n
Kb. (Rquiere -w fichero.pcap)
Extraer tráfico de una captura aplicando –a files:n Termina la
captura cuando al tener n
uno o varios filtros y crear otro fichero
ficheros de captura. requiere de
pcap. filesize o duration y de -w
indicando directorio: "tshark -a
tshark -r test2.pcap -Y files:3 -a filesize:1024 -w
ldap.simple -w cacas.pcap /tmp/"

Ejemplo: A los 10 segundos

tshark dejará de capturar.

# shark -i2 -f "port 25" -aduration:10

Instalación TShark

Desde la consola se llega al directorio de Wireshark, se ejecuta “tshark”.

Figura 8. Instalación Tshark

14 | P á g i n a
TALLER EVALUATIVO 2

12. Aplique el siguiente filtro por medio de la herramienta Tshark e l cual permite obtener sólo
el payload de todos los paquetes de la captura.

Figura 8. Se ejecuta captura en Tshark

Sintaxis:

tshark.exe -Y data -r <path_capture_file> -T fields -e data

Donde:

OPCIÓN PARÁMETRO DESCRIPCIÓ

N
-Y data (display filter) Tipo de filtro
-r <path_capture_file> (in file) Especifica la ruta de la captura
(format of text output) Indica el tipo de formato que se requiere
-T fields
imprimir en el resultado
(field to print if -T fields selected) Determina cuáles campos
-e data
serán impresos en el resultado

Ejemplo:
C:\Program Files\Wireshark>tshark.exe -Y data -r D:\captura.pcapng -T fields -e data

Esta imagen (Figura 8.) muestra la estadística detallada y agrupada entre el origen y el
destino ya identificados, pero se hace especial énfasis en aquellas tramas que cuenta con
data.

13. Lleve la salida del comando ejecutado en el punto anterior a un editor hexadecimal.

15 | P á g i n a
TALLER EVALUATIVO 2

Se procede a realizar la conversión de la data hexadecimal obtenida de Tshark en un conversor en

línea, se opta por esta alternativa al encontrar la practicidad y buen funcionamiento de la misma,
son necesidad de realizar instalación de software.
URL: www.rapidtables.org

14. Realice la conversión de hexadecimal a ASCII.

Figura 9. Se ingresa data HEXADECIMAL

16 | P á g i n a
TALLER EVALUATIVO 2

Figura 10. Resultado en ASCII

15. Analice los resultados.

Luego del análisis realizado en los anteriores numerales y la información recolectada hasta el
momento, se confirma que en la captura de paquetes hay evidencia suficiente para determinar que
se trata de un ataque, el cual utiliza un método aparentemente inofensivo como es el ICMP, pero
que a través de paquetes debidamente manipulas es posible extraer información de la víctima; como
se ve en la (Figura 10.) a través de estos paquetes se esta enviando información como dirección IP y
las diferentes interfaces activas del equipo víctima, finalmente el nombre del usuario que se
encuentra logueado en el momento. El grupo 10, no satisfecho con lo que se puede apreciar a simple
vista con las herramientas wire shark y tshark, en medio de una labor investigativa, llega a una

17 | P á g i n a
TALLER EVALUATIVO 2

conclusión para describir el tipo de vulnerabilidad explotada, este ataque conocido como ICMP
Tunneling, utiliza la manipulación de paquetes para transmitir y receptar datos en cubierto,
aplicando pequeños cambios en la cabecera del protocolo en cuestión, haciendo que sea difícil su
detección por parte de los dispositivos de perímetro e IDS.

También, luego de la información obtenida del payload, se llega a la conclusión de que, quien inicia
la comunicación entre los equipos, no es propiamente el atacante, por el contrario, se trata de la
víctima, esto se puede entender ya que el equipo que responde a los comandos de “ipconfig” y
“whoami” es el equipo con IP 192.168.153.129, mismo quien inicia la comunicación por el protocolo
ICMP.

16. Establezca la situación presentada para la cual fue contratado.

Luego del análisis profundo, realizado por el grupo 10 a la captura de paquetes, se concluye que hay
evidencia suficiente para demostrar el intento y ejecución exitosa de un ataque real, donde un
equipo ejecuta comandos de reconocimiento de forma remota sobre su víctima, utilizando
inicialmente una técnica conocida como “Shell reverse” la cual permite que la máquina de la víctima
que se encuentra en una red “segura”, sea quien busca la conexión al equipo del atacante en la red
externa, evadiendo de esta forma la gran mayoría de controles perimetrales y de identificación de
amenazas implementados, ya que no se efectúa una intrusión a la red; posteriormente el atacante
emplea una técnica llamada “ICMP Tunneling”, la cual permite enviar comandos e información de
manera oculta por medio de paquetes echo-request y echo-reply, haciendo una breve modificación
a la cabecera del protocolo y de esta forma lograr obtener información suficiente que le seria de
utilidad a un ente malintencionado para ejecutar un ataque dirigido con un impacto mayor, así como:
IP, sistema operativo, adaptadores de red activos, usuario y protocolo activo.

16.1 ¿Qué tipo de ataque fue llevado a cabo?

Táctica: Comando y control. (https://attack.mitre.org/techniques/T1095/)

Por medio de un protocolo aparentemente inofensivo como lo es ICMP, utilizado comúnmente para
hacer “ping” e identificar si el destino implicado esta activo y tiene comunicación con el origen,
también es posible llevar a cabo ejecución de código malicioso en el dispositivo de destino.
Comando y control es una técnica utilizada para por entes maliciosos para hacerse del control del
equipo objetivo o destino sin ser detectados por el usuario o los dispositivos de seguridad que
protegen el dispositivo final, dicha técnica se puede ejecutar de múltiples formas, obteniendo
diferentes niveles de sigilo dependiendo de la estructura de la res y sus defensas.

Técnica: Tunelización.

La comunicación ICMP como parte del conjunto de protocolos de Internet, es usualmente

configurado y se encuentra activo en las redes de comunicaciones, tales como el protocolo UDP y
TCP, siendo estos últimos de mas atención para los administradores de la red ya que son los
principales en las interacciones; no obstante, el protocolo ICMP puede ser utilizado por adversarios
para ocultar comunicaciones y ejecutar ataques imperceptibles a los administradores y software de
identificación de amenazas.

18 | P á g i n a
TALLER EVALUATIVO 2

16.2 ¿Este ataque es del tipo pasivo o activo?

Se confirma que se trata de un ataque de tipo activo, ya que se aprovecha una vulnerabilidad luego
de ejecutar múltiples peticiones a la víctima, logrando así, hacerse con el acceso y control de un
sistema objetivo.

16.3 ¿A cuál amenaza está expuesta la red corporativa donde fue llevada a cabo la captura del
tráfico de red?

Con base a “Cyber Threat Source Descriptions CISA.pdf”, el grupo de analistas 10, llega a la
conclusión de que se trata de un atacante interno, conocido técnicamente como un “incider”, dicho
ente puede llegar a ser el eslabón más débil y delicado de la cadena, ya que no necesariamente
puede ser con intensión explicita ya que en la mayoría de casos en los que se evidencia que el error
cometido es humano y ejecutado de manera interna se ha comprobado que se ejecuta por
desconocimiento del implicado, también por otros motivos como descontento, fraude o espionaje
comercial. Por esta razón optamos por pensar que se trata de un “incider” el responsable del ataque
descrito en la captura de paquetes, también tomando como referencia que los equipos implicados,
se encuentran en la misma red. Nota: Cabe aclarar que esto ultimo puede estar relacionado con que
se trata de un ejercicio netamente académico.

16.4 ¿Qué escenario de riesgo fue materializado?

Para el caso se puede concluir que se vulnero el escenario de confidencialidad ya que se confirma
una intrusión al equipo de la victima ejecutando diferentes comandos que revelan información
confidencial de la red y el dispositivo final.

16.5 Proponga dos medidas (controles) diferentes que pudieran implementarse.

Se sugiere deshabilitar o bloquear todos aquellos servicios propios de los sistemas operativos que
no son verdaderamente necesarios, una política de mínimo privilegio, se ajusta propiamente a este
control, en donde, si no es estrictamente necesario contar con la habilitación de un puerto es
mejor optar por la des habilitación del mismo o estudiar la posibilidad e modificarlo por medio de
dispositivos externos como un firewall para que este sea accedido por un puerto efímero, alejado
de los puertos conocidos.

También sugerimos como control al ataque identificado en la captura, que se fomente de manera
activa la educación en ciberseguridad para los empleados de la organización, acorde a los
diferentes niveles, roles y privilegios en los diferentes cargos, con la finalidad de reducir riesgo de
materialización de un ataque de ingeniería social.

19 | P á g i n a
TALLER EVALUATIVO 2

CONCLUSIONES

• Considerar la política de mínimo privilegio es fundamental para salvaguardar la información

ante entes malintencionados en las redes externas que constantemente está a la búsqueda de
errores humanos en las configuraciones básicas para explotarlas y obtener acceso a información
confidencial para hacer uso indebido de la misa buscando un beneficio propio sin importar las
consecuencias que esto pueda llevar a la organización afectada.
• Algunos protocolos aparentemente inofensivos presentan vulnerabilidades conocidas por los
ciberdelincuentes que están constantemente testeando en búsqueda de aquellas redes
incautas que presentan brechas.
• La manipulación de la cabecera de un protocolo facilita la posibilidad de un ataque, modificando
un solo parámetro en u comando es posible generar ataques, que si la victima no tiene
plenamente identificados y parchados pueden ser catastróficos para sus servicios e información.
• Ejecutar periódicamente actividades de “Ethical Hacking” con entidades certificadas puede
reducir en un porcentaje alto la materialización de ataques como el observado en el presente
taller.

20 | P á g i n a
TALLER EVALUATIVO 2

REFERENCIAS BIBLIOGRÁFICAS

Caminosdigitales. (2019). “Wireshark como personalizar las columnas”.

https://caminosdigitales.es/wireshark-como-personalizar-las-columnas/.

Carlos, L.(2023). ”Guía Rápida de Wireshark: todos los comandos, filtros y sintaxis”.
https://achirou.com/guia-rapida-de-wireshark-todos-los-comandos-filtros-y-sintaxis/.

Iana. (2020).” Internet Control Message Protocol (ICMP) Parameters”.

https://www.iana.org/assignments/icmp-parameters/icmp-parameters.xhtml.

paloaltonetworks, «www.paloaltonetworks.com,» [En línea]. Available:

https://www.paloaltonetworks.com/cyberpedia/what-is-a-denial-of-service-attack-dos. [Último
acceso: 2024 03 15].

Cloudflare, «www.cloudflare.com,» [En línea]. Available: https://www.cloudflare.com/es-

es/learning/ddos/ping-of-death-ddos-attack/. [Último acceso: 2024 03 15].

hackyourmom, «hackyourmom.com,» hackyourmom, 23 09 2023. [En línea]. Available:

https://hackyourmom.com/en/pryvatnist/yak-hakery-vykorystovuyut-icmp-tunelyuvannya-shhob-
zavolodity-merezheyu-organizacziyi/. [Último acceso: 2024 03 15].

attack.mitre.org, «attack.mitre.org,» attack.mitre.org, 19 07 2019. [En línea]. Available:

https://attack.mitre.org/tactics/TA0011/. [Último acceso: 15 03 2024].

attack.mitre.org, «attack.mitre.org,» attack.mitre.org, 29 09 2023. [En línea]. Available:

https://attack.mitre.org/techniques/T1095/. [Último acceso: 15 03 2023].

Jordi, H & Guillermo,N().”Vulnerabilidades en redes”.

https://cv.uoc.edu/annotation/5147ba006709ce18f1e46f5a191a4597/603226/PID_00212192/modul
_3.html#w26aab9c15b7

IONOS Cloud, S.(2023).”ARPspoofing”.

https://www.ionos.es/digitalguide/servidores/seguridad/arp-spoofing-ataques-desde-la-red-interna/

CloudFlare.” ¿Qué es un ataque de denegación de servicio (DoS)?

”. https://www.cloudflare.com/es-es/learning/ddos/glossary/denial-of-service/

Amazon Web Services, Inc.(2024).” ¿Qué es un ataque DDOS?”.

https://aws.amazon.com/es/shield/ddos-attack-
protection/#:~:text=Un%20ataque%20de%20denegaci%C3%B3n%20de,para%20legitimar%20a%2
0usuarios%20finales.

21 | P á g i n a
TALLER EVALUATIVO 2

IONOS Cloud. (2020).” El ping de la muerte: uno de los primeros ataques de

red”.https://www.ionos.es/digitalguide/servidores/seguridad/ping-de-la-muerte/

ORACLE. (2014).” Análisis del tráfico de red con analizadores TShark y Wireshar”.
https://docs.oracle.com/cd/E56339_01/html/E53800/gncns.html

Busindre.(2020)“guia_del_sniffer_tshark_wireshark_en_modo_texto.txt ”.
https://www.busindre.com/guia_del_sniffer_tshark_wireshark_en_modo_texto.

22 | P á g i n a