01 - Fundamentos Basicos de La Ciberseguridad

Fundamentos Básicos de la Ciberseguridad
1
INDICE
 Ciberseguridad: ¿A qué nos enfrentamos?
• Vulnerabilidad vs Amenaza
• Ciberdelitos y Cibercriminilidad: incidentes de seguridad
• Criptografía
• Sistemas de Anonimización
• Principales actores en la detección, prevención, respuesta y recuperación frente a ciberataques.
• Problemática de la investigación en internet desde una perspectiva técnica
 Introducción a la ciberseguridad: tecnologías.

• Evolución y contexto tecnológico actual
• Redes y sistemas operativos.
• Virtualización.
• Cloud pública y privada
INDICE
• Criptografía
¿Qué es la ciberseguridad?
Ciberseguridad: Conjunto de actividades dirigidas a proteger el
ciberespacio contra el uso indebido del mismo, defendiendo su
infraestructura tecnológica, los servicios que prestan y la información
que manejan
Cuando hablamos de Ciberseguridad hablamos de
 Confidencialidad
 Integridad
 Disponibilidad
Confidencialidad: cualidad de la información para no ser divulgada a
personas o sistemas no autorizados. Se trata básicamente de la
propiedad por la que esa información solo resultará accesible con la
debida y comprobada autorización.
Disponibilidad: Por disponible entendemos aquella información a la
que podemos acceder cuando la necesitamos a través de los canales
adecuados siguiendo los procesos correctos.
Integridad: “estado de lo que está completo o tiene todas sus partes”.
La integridad hace referencia a la cualidad de la información para ser
correcta y no haber sido modificada, manteniendo sus datos
exactamente tal cual fueron generados, sin manipulaciones ni
alteraciones por parte de terceros.
Ciberseguridad: ¿A qué nos enfrentamos?
 Ciberseguridad estamos hablando de amenazas, de entender lo que

está sucediendo, quién está detrás y por qué.
 Estamos hablando también de tecnología, inherente ya en todos los
procesos, pero en éstos en particular en mayor medida.
INDICE
• Criptografía
• Delitos tradicionales potenciados por sistemas de información.
Vulnerabilidad vs Amenaza
 La diferencia entre vulnerabilidad y amenaza es muy interesante,

aunque son términos que se confunden a menudo.
VULNERABILIDAD AMENAZA
Una vulnerabilidad es una debilidad o fallo en un sistema de información que
pone en riesgo la seguridad de la información pudiendo permitir que un atacante
pueda comprometer la integridad, disponibilidad o confidencialidad de la
misma, por lo que es necesario encontrarlas y eliminarlas lo antes posible.
Vulnerabilidades en 2016
% Vulnerabilidades
Número total de vulnerabilidades: 65,17
Amenaza: toda acción que aprovecha una vulnerabilidad para atentar
contra la seguridad de un sistema de información. Es decir, que podría
tener un potencial efecto negativo sobre algún elemento de nuestros
sistemas. Desde el punto de vista de una organización pueden ser
tanto internas como externas.
Las vulnerabilidades son las condiciones y características propias de

los sistemas de una organización que la hacen susceptible a las
amenazas.
Problema: si existe una vulnerabilidad, siempre existirá alguien que

intentará explotarla, es decir, sacar provecho de su existencia.
Amenaza Vulnerabilidad propia del sistema

El riesgo es la probabilidad de que se produzca un incidente de seguridad,
materializándose una amenaza y causando pérdidas o daños.
PROBABILIDAD
IMPACTO RIESGO
DE QUE OCURRA
 El riesgo depende entonces de los siguientes factores: la probabilidad de

que la amenaza se materialice aprovechando una vulnerabilidad y
produciendo un daño o impacto. El producto de estos factores representa
el riesgo existirá alguien que intentará explotarla, es decir, sacar provecho
de su existencia.
El riesgo es la probabilidad de que una amenaza

se materialice por el impacto que provocaría la
explotación de una vulnerabilidad.
 Podemos identificar los activos críticos de los sistemas de

información que pueden suponer un riesgo, realizando un análisis
de riesgos
 Este análisis nos llevará a obtener una imagen rigurosa de los
riesgos a los que se encuentra expuesta una organización.
El tratamiento del riesgo (control) supone unos claros beneficios para
la «salud» de la ciberseguridad.
De esta manera mantendremos protegida nuestra información
confidencial frente a la mayoría de amenazas y vulnerabilidades
detectadas (o no), evitando robos y fugas de información.
Control
A los procedimientos utilizados para reducir los riesgos o minimizar su impacto se les denomina
“mecanismos o medidas de seguridad”.
Se dividen en tres grandes grupos:
 Controles preventivos: eliminan o reducen la posibilidad de que las amenazas lleguen a

materializarse. Por ejemplo: un firewall o un sistema de autenticación.
 Controles de detección: permiten detectar un suceso no deseado. Por ejemplo un IDS
(Sistema de Detección de Intrusos)
 Medidas de reacción y recuperación: reducen el impacto en caso de haberse materializado las
amenazas.
 Por ejemplo: disponer de dispositivos redundantes (duplicado) para poder sustituirlo en caso
de un problema o recuperan un sistema al estado más próximo previo a la ocurrencia de una
amenaza.
 Por ejemplo: Realizar un backup, o copia de seguridad de nuestros datos.
Con el análisis averiguamos la magnitud y la gravedad de las consecuencias del riesgo a
la que está expuesta la organización.
Para ello tendremos que definir un umbral que determine los riesgos asumibles de los
que no lo son. En función de la relevancia de los riegos podremos optar por:
1. Evitar el riesgo eliminando su causa, por ejemplo, cuando sea viable optar por no
implementar una actividad o proceso que pudiera implicar un riesgo.
2. Adoptar medidas que mitiguen el impacto o la probabilidad del riesgo a través de la
implementación y monitorización de controles.
3. Compartir o transferir el riesgo con terceros a través de seguros, contratos etc.
4. Aceptar la existencia del riesgo y monitorizarlo.
INDICE
• Criptografía
Ciberdelitos y cibercriminalidad: incidentes de seguridad.
Tipos de delitos:
 Delitos contra la confidencialidad, la integridad y la disponibilidad de los
datos y sistemas informáticos: El robo de identidades, la conexión a redes
no autorizadas y la utilización de spyware y de keylogger.
 Delitos informáticos: El borrado fraudulento de datos o la corrupción de
ficheros.
 Delitos relacionados con el contenido: Producción, oferta, difusión,
adquisición de contenidos de pornografía.
 Delitos relacionados con infracciones de la propiedad intelectual y
derechos afines: Copia y distribución de programas informáticos, o
piratería informática.
BITACORA 2017
Ciberdelitos de 2017
 El ciberespionaje de naturaleza económica, llevado a cabo
habitualmente por servicios de inteligencia extranjeros, ha
constituido la mayor amenaza para el mundo occidental en el
último año, dirigiéndose, fundamentalmente, contra
organizaciones, públicas y privadas, poseedoras de importantes
activos en materia de propiedad intelectual.
 El ciberespionaje de naturaleza política, llevado a cabo,
igualmente, por estados extranjeros, ha pretendido socavar el
contexto político y gubernamental de los estados atacados,
persiguiendo, en muchos casos, atentar contra el orden legal
constituido.
 En ocasiones, además, se han podido observar acciones de
cibersabotaje cómo medidas de apoyo a acciones militares
convencionales.
 La ciberdelincuencia: desarrollo de redes de ordenadores
infectados (botnets), campañas de ransomware, cada vez más
organizadas. El incremento en su sofisticación, la utilización de
correos electrónicos dirigidos (spear-phising) y el crecimiento en el
número de tales ataques constituyen las novedades más
significativas de esta actividad delincuencial.
Spear Phising Attack

 Hacktivismo o Ciberactivismo, se entiende normalmente como la
"utilización no violenta de herramientas digitales ilegales o
legalmente ambiguas persiguiendo fines políticos. Estas
herramientas incluyen desfiguraciones de webs, redirecciones,
ataques de denegación de servicio, robo de información, parodias,
sabotajes virtuales y desarrollo de software"
 La amenaza de los cibervándalos y script kiddies sigue en aumento,
como lo demuestra el significativo incremento de ataques DDoS
desarrollados con herramientas muy accesibles y de bajo coste,
entre las que se incluye el Cibercrimen-as-a-Service.
 La presencia de exploits-kits, contando en muchos casos con
servicios de ayuda disponibles 24/7, y el aumento de código
dañino para dispositivos móviles.
 La actualización del software de los equipos y dispositivos
continúa siendo un reto. En muchas ocasiones, la vulnerabilidad de
las organizaciones está provocada por la existencia de equipos o
dispositivos que albergan software desactualizado o que no han
incorporado adecuadamente los parches de seguridad.
Ciberdelitos 2017
 El crecimiento de la publicidad dañina en páginas web muy
conocidas y visitadas ha provocado un incremento inusitado en la
distribución de código dañino a través de anuncios, aumentando la
superficie de ataque y generando un grave riesgo para los
visitantes de tales páginas. En muchas ocasiones la solución no
contempla por eliminar la publicidad de tales páginas, puesto que
tendría un impacto muy negativo en el modelo de negocio de
muchas empresas.
Ciberdelitos 2017
 El comportamiento de los usuarios sigue constituyendo una de las
más importantes vulnerabilidades de los sistemas, propiciando que
la ingeniería social siga siendo uno de los mecanismos más usados
para iniciar ciberataques, a través, generalmente, de spear-
phishing.
Herramientas delictivas:
 El Ransomware es un software malicioso que al infectar nuestro
equipo le da al ciberdelincuente la capacidad de bloquear un
dispositivo desde una ubicación remota y encriptar nuestros
archivos quitándonos el control de toda la información y datos
almacenados. El virus lanza una ventana emergente en la que nos
pide el pago de un rescate, dicho pago se hace generalmente en
moneda virtual (bitcoins por ejemplo).
Ransomware
Timeline
Wannacry
 Ransomware de 2017
 Capacidades de propagación de gusano
 Uso de una vulnerabilidad de Windows en el protocolo SMB (Server
Message Block) CVE-2017-0144
 Usa exploit de la NSA
 El spyware es un software que recopila información de un
ordenador y después transmite esta información a una entidad
externa sin el conocimiento o el consentimiento del propietario del
ordenador.
 El término spyware también se utiliza más ampliamente para
referirse a otros productos que no son estrictamente spyware.
Estos productos, realizan diferentes funciones, como mostrar
anuncios no solicitados (pop-up), recopilar información privada,
redirigir solicitudes de páginas e instalar marcadores de teléfono.
 Scam es una palabra de origen inglés, cuya traducción es timo o
estafa, su significado lleva a una historia o situación, en la que se
dice que uno o varios individuos entregan una cantidad de dinero
al estafador o “Scamer” con la promesa de recibir a cambio un
beneficio generalmente económico (algún tipo de premio).
 Spam, o información basura, hace referencia a aquellos mensajes,
con remitente desconocido, que no son solicitados ni deseados
por el usuario y que, además, por norma general, son enviados en
grandes cantidades. Por consiguiente, el spam se caracteriza por
ser anónimo, masivo y no demandado.
 El phishing consiste en el envío de correos electrónicos que,
aparentando provenir de fuentes fiables (por ejemplo, entidades
bancarias), intentan obtener datos confidenciales del usuario, que
posteriormente son utilizados para la realización de algún tipo de
fraude.
 Para ello, suelen incluir un enlace que, al ser pulsado, lleva a
páginas web falsificadas. De esta manera, el usuario, creyendo
estar en un sitio de toda confianza, introduce la información
solicitada que, en realidad, va a parar a manos del estafador.
El Phishing es un ejemplo de la
utilización de ingeniería social, que
consigue información de la víctima
suplantando la identidad de una
empresa u organismo por internet.
Se trata de una práctica muy habitual
en el sector bancario.
 Botnet es el nombre genérico que
denomina a cualquier grupo de PC
infectados y controlados por un atacante
de forma remota. Generalmente, un
hacker o un grupo de ellos crea un
botnet usando un malware que infecta a
una gran cantidad de máquinas. Los
ordenadores son parte del botnet,
llamados “bots” o “zombies”.
 La función principal del adware es la de mostrar
publicidad. Aunque su intención no es la de
dañar equipos, es considerado por algunos una
clase de spyware, ya que puede llegar a
recopilar y transmitir datos, mientras que para
otros ni siquiera se considera un malware.
 De todos los tipos de ciberataque, los ataques DoS, o DDoS, son
posiblemente los más conocidos. Consisten en realizar un número
considerable de peticiones a un servidor, desde múltiples
ordenadores, para conseguir que se sature y colapse.
 Existen múltiples técnicas para llevar a cabo este ataque. La más
sencilla es la utilización de botnets, equipos infectados con
troyanos cuyos dueños no saben que están formando parte del
ataque.
 Un Keylogger es un programa de ordenador que graba cada pulsación
del teclado y guarda estos datos en un archivo. Una vez que reúne la
cantidad de datos necesaria, la transfiere a través de Internet a un host
remoto predeterminado.
 Puede también realizar capturas de pantalla y usar otras técnicas para
controlar la actividad del usuario. Un keylogger puede causar la pérdida
de contraseñas, datos de autentificación y similar información.
 Keylogger de Software
 Keylogger Hardware
INDICE
• Criptografía
Criptografía/cifrado
La criptografía nació como la ciencia de ocultar mensajes, sea, cifrarlos

para que sólo el receptor pueda acceder a ellos:
 Su origen es militar (Julio César escribió sobre ello, en la II Guerra Mundial
se usó ampliamente, etc.), para enviar mensajes y órdenes sin que el
enemigo lo supiera aunque interceptara el mensaje (o al mensajero).
 En la última parte del S. XX, varios avances permitieron aplicar técnicas
de cifrado para un nuevo propósito: autenticar el origen de un mensaje, o
lo que es lo mismo, firmar un mensaje, de modo que pudiéramos estar
seguros de quién lo mandaba. Concepto equivalente a la firma
manuscrita.
Criptografía simétrica
 La más sencilla, ya usada por Julio César.
 Existe una clave de cifrado y un algoritmo de cifrado (operaciones
con el mensaje y la clave).
 Aplicando el algoritmo de cifrado y la clave, convertimos el mensaje
en algo ilegible.
 Aplicando el mismo algoritmo con la misma clave al mensaje cifrado,
recuperamos el mensaje original.
Criptografía simétrica
 Veamos el ejemplo de Julio César:
Resumen: Se cifra y descifra con la misma clave

 Actualmente se usan algoritmos matemáticos mucho más complejos
(DES, 3DES, AEDES, BlowFish…)
 En un cifrado muy rápido de realizar para un ordenador (incluso hay
hardware específico para ello)
El punto crítico es que para descifrar el mensaje se necesita conocer la
clave:
 ¿Cómo intercambiamos la clave de cifrado de forma segura por
Internet? En la II Guerra Mundial los alemanes tenían que llevar consigo
la máquina de cifrado “enigma”
Criptografía Asimétrica
 Para solucionar el problema de tener que compartir la misma clave
entre emisor y receptor
 Desarrollada en los últimos 30 años.
 Existen dos claves, denominadas clave pública y clave privada.
 Lo que se cifra con una se descifra solo con la otra , y viceversa.
 No es posible cifrar y descifrar con la misma clave.
 Cada usuario conserva su clave privada y distribuye su clave pública
abiertamente.
Cada participante tiene dos claves.

Para enviar un mensaje, lo cifro con la clave pública del receptor y
sólo él lo podrá descifrar.
Cifrado asimétrico:
 Para enviar un mensaje a alguien, lo cifro con su clave pública
 Sólo él tiene la clave privada, podrá descifrar dicho mensaje.
 No importa que la clave pública se distribuya a todo el mundo, no sirve
para descifrar el mensaje
 Computacionalmente el cifrado asimétrico es un proceso lento (RSA
basado en números primos enormes cuyo producto es muy difícil de
factorizar)
 Problema: cifrar muchos datos en tiempo real sería muy lento y
requeriría grandes ordenadores
En la práctica se combina el cifrado simétrico y el asimétrico (sobre digital):
 Se cifra con clave simétrica (rápido)
 Se cifra la clave simétrica con cifrado asimétrico (usando la clave pública del
receptor)
 Se envía todo junto
 El receptor descifra con su clave privada asimétrica la clave simétrica
 El receptor ya puede descifrar el mensaje con la clave simétrica
 Tiene la ventaja de la rapidez del cifrado simétrico para el mensaje (largo) y
que la clave se distribuye de forma segura con cifrado asimétrico.
Sobre digital: combinación de cifrado simétrico y asimétrico para cifrar mensajes
grandes de manera eficiente.
Firma Digital
 El emisor cifra el mensaje con clave privada
 Lo envía cifrado y sin cifrar al receptor
 El receptor descifra la parte cifrada con la clave pública del emisor
 Si coincide con el mensaje, es que lo ha enviado el emisor y nadie
lo ha alterado
 Sólo el poseedor de la clave privada correspondiente a la clave
pública usada para descifrar podría generar un mensaje cifrado
que al descifrarse coincida con el original
 En la práctica, no se cifra todo el mensaje, sino un hash o resumen.
 La firma digital busca identificar al emisor del mensaje, el cifrado
del mensaje sería otro asunto
 Hash: una función resumen de solo un sentido de un grupo de
datos
 Se envía firmado el hash del mensaje
 Se descifra, se calcula el hash del mensaje recibido y se comparan
 Cualquier cambio en el mensaje, por pequeño que sea, cambiará el
hash, por lo que no coincidirán la firma digital
La firma digital consiste en adjuntar al documento electrónico, un
hash del mismo, cifrado con la clave privada del emisor.
Al recibirlo, si tenemos la clave pública del emisor podemos
comprobar que el mensaje lo envió él.
Problema: ¿Cómo saber que una clave pública es realmente de quien
dice ser?
Podríamos enviar mensaje cifrados a la persona equivocada, o recibir
claves públicas y no estar seguros de la identidad de su propietario
 Solución: Autoridades de certificación y certificados digitales
Certificado digital: es un archivo electrónico generado por una
entidad de servicios de certificación, conocida como Autoridad
Certificadora o CA, que asocia unos datos de identidad a una persona
física, organismo o empresa confirmando de esta manera su identidad
digital en Internet.
Certificado Digital
¿Para que sirve?
 La firma electrónica de
documentos
 Confidencialidad de
documentos
 Garantizar la identidad de
una persona en internet
Los hashes funciones de resumen son algoritmos o funciones que
dados unos datos de entrada (un texto, una contraseña o un video, por
ejemplo) genera una salida alfanumérica de longitud normalmente fija
que representa un resumen de toda la información.
 La función es unidireccional, de la información se puede calcular el

hash pero no al revés.
 Los mismos datos siempre generan el mismo hash.
 El cambio de un solo byte de datos generaría un cambio en el hash.
Hashes
Una colisión de hashes una situación que se produce cuando dos
entradas distintas a una función de hash producen la misma salida.
• MD5 “roto” en el 2017
• SHA-1 “roto” en el 2017

INDICE
• Criptografía
Sistemas de anonimización: VPN, Deep Web, red TOR y similares
 El derecho a la privacidad y el anonimato son temas que hoy en día

despiertan interés tanto en empresas como en particulares.
 El uso de plataformas anónimas se ha convertido en los últimos años

en la forma predilecta de comunicación por parte de mafias,
miembros del crimen organizado, pedófilos, narcotraficantes.
 VPN (Virtual Private Network) es una tecnología que permite crear

conexiones privadas entre dos puntos utilizando una red pública
como Internet.
 Se les suele llamar túneles, ya que la comunicación se encuentra
recubierta por una capa de cifrado que impide que un tercero pueda
ver o intervenir la conexión.
 El servicio VPN permite se encarga de enrutar la petición al destino,
utilizando la dirección IP destino, como IP que realiza la petición.
FrootVPN
 Uno de los mejores servicios VPN gratuitos que existen actualmente.
 No almacena logs
 Dispone clientes para Windows, Linux y Mac.
 Registro Gratuito
TunnelBear
 VPN con restricciones, plan gratutito hasta 500 Megas al mes.
 Dispone de clientes para Android, IOS, Windows y Mac.
HideMan
 Plan gratuito con restricción de 4 horas de acceso a la semana.
 En comparativa con otros planes de pago, no es caro.
 Cliente para Android, IOS, Windows, Linux y Mac.
 En caso de utilizar el servicio de pago, no se registra la actividad del
usuario ni se guardan logs de acceso.
 En el plan gratuito guardan durante 14 días los logs, por lo que si
llega una reclamación, informarán de tu actividad.
HideMyAss
 Se trata de un servicio VPN que adicionalmente permite la
navegación privada y segura en Internet mediante un proxy que
soporta HTTPs
 Se puede establecer la ubicación desde la que supuestamente se
realizan las peticiones a un sitio web, enmascarando los detalles
básicos sobre la ubicación real del mismo.
Zenmate es una solución VPN que cuenta con un plugin para
navegadores como Chrome, Firefox, Safari y Opera.
 Permite enrutar todas las peticiones web por medio de VPN y se
encarga de cifrar entre emisor y receptor.
 La extensión permite seleccionar el supuesto origen de las
peticiones, de esta manera consigue evadir las restricciones
relacionadas con la ubicación geográfica del usuario.
Servidores Proxy Anónimos
 Un servidor proxy es una solución que entra en la categoría de middleware, el
cual funciona como una pasarela entre el cliente y un destino en Internet,
enrutando las peticiones y las respuestas de forma trasparente.
 Un proxy puede ocultar la dirección IP del cliente, ya que el destino sólo vera la
dirección IP del proxy, gracias a este concepto tan simple
Deep Web
 La Deep web o web profunda se refiere principalmente a contenidos
que no se encuentran indexados por los principales motores de
búsqueda de internet.
 También es posible que dichos contenidos se encuentren indexados
en buscadores pero dadas sus características, no suelen aparecer
con los criterios de búsqueda.
 Los contenidos en la Deep web son enormes.
DarkWeb
 La dark web se refiere a contenidos que no se pueden indexar dado
que se encuentran protegidos por sus autores, los cuales se
encargan de usar y compartir dichos contenidos en redes
privadas/anónimas.
DarkNets
 El termino Darknets se refiere a un subcojunto de la deepweb que
representa un espacio protegido por una red privada (VPN) o al que
solamente un número reducido de usuarios autorizados pueden
acceder.
 Los contenidos no son indexados por ningún buscador en Internet.
 Una de las darknets más populares es TOR la cual para acceder a
ella, es necesario contar con un cliente TOR.
 I2P es otra de las darknets.
Características de las Darknets:
Inproxy
 Aceptan tráfico entrante (hacia dentro de la red)
 No aceptan tráfico saliente (hacia fuera de la red)
 Freenet, I2P (eepsites), Tor (servicios ocultos)
Outproxy
 No aceptan tráfico entrante (hacia dentro de la red)
 Aceptan tráfico saliente (hacia fuera de la red)
 Tor, I2P (outproxies)
Invisible Internet Project (I2P) nacida en el 2003 por un grupo de
hackers.
 Red totalmente descentralizada
 Permite la creación de cualquier servicio sin necesidad de
configuraciones complejas.
 El uso de I2P se lleva a cabo por medio de las aplicaciones diseñadas
para tratar por I2P y rara vez se utiliza de forma directa.
 Dirección I2P: xxxxx.i2p
 Cuando un usuario inicia en I2P en su ordenador, automáticamente
se convierte en un enrutador y en la medida que se integra en la red,
se convertirá en parte de los túneles que crean automáticamente
otras instancias de I2P.
 Los túneles solo funcionan en un solo sentido, ya sea para enviar o
recibir paquetes, por este motivo se deben de crear túneles de
entrada o de salida.
 Los paquetes viajan cifrados y cada uno de los enrutadores que
recibe el paquete, solo puede acceder a la información
correspondiente del siguiente enrutador.
 El mensaje es cifrado aplicando

múltiples capas de cifrado, utilizando la
llave pública de cada uno de los
participantes
 El cifrado es punto a punto.
 La primera vez que una instancia
contacta con otro enrutador, realiza una
consulta a una bbdd distribuida NetDB.
 Contiene una tabla hash con los túneles
de entrada.
Freenet es uno de los proyectos más conocidos y antiguos
relacionados con el anonimato.
 Muy similar a I2P, mismo modelo de inproxy.
 Red descentralizada, dependiendo de los usuarios que se conectan.
 Al igual que en I2P, cuando un usuario se conecta a la red, su ancho
de banda será utilizado para transportar información a otros nodos.
 Restringe las conexiones entre aquellos nodos que se consideren
“Friends”, generando pequeños segmentos. Darknet dentro de una
Darknet
Freenet: Asociación de
Investigación Académica Rusa
 Al ser una solución inproxy, solo puede consumir y proporcionar
servicios desde dentro de la red. No permite el acceso directo a
Internet como otras soluciones ‘outproxy’ como TOR.
 Para crear la Darknet dentro de la Darknet es necesario 5
participantes o Friends.
 Los Friends harán de enrutadores.
 Necesita espacio para almacenar contenido de otros usuarios que
comparten en tu red (Sistema de Almacenamiento Distribuido) -> 5%
si tu disco es mayor de 20gb
 El contenido del datastore se encuentra cifrado.
 Los ficheros almacenados en un nodo (datastore) se encuentran

replicado en otro nodo, en formato comprimido, fragmentados en
trozos de 32KB y cifrados.
 Las claves son simplemente hashes que no guardan ninguna
semántica con el contenido
Tor es una red anónima que se encuentra soportada y gestionada por
el equipo de Tor Project.
 Completamente centralizada, donde un conjunto de servidores

(directory authorities) se encargan de gestionar todos los detalles de
configuraciones.
 Dirección de TOR: xxxxx.onion
 Las directory authorities se encargan de generar información.
 Al conocerse los directory authorities o repetidores de TOR se puede
banear el acceso a red.
 En caso de baneo a los servidores TOR, un usuario de TOR puede
crear el acceso a la red mediante “bridges”.
 El único protocolo soportado por TOR es TCP.
 Cuando se envía un mensaje, se realiza un circuito virtual donde
establece por donde va pasar mensaje y añadiéndole las capas de
cifrado necesaria para ocultar la petición original.
 El circuitos en TOR son bidireccionales a diferencia de I2P
Repetidores: se trata de una instancia de TOR que acepta y replica el
tráfico. Enrutan el trafico hasta el siguiente salto.
Repetidores Internos o Relay: no acceden de forma directa a los
paquetes de datos y suprimen la capa de cifrado correspondiente a su
propia clave cifrada.
Repetidores Externos o Nodos de salida: acceden de manera directa
a la información, y quitan la ultima capa de cifrado.
Los repetidores publican información sobre sus características por
medio de los documentos conocidos como Descriptores.
INDICE
• Criptografía
• Principales actores en la detección, prevención, respuesta y recuperación
frente a ciberataques.
Principales actores en la detección, prevención, respuesta y
recuperación frente a ciberataques
Hacker: Es una persona experta en una o varias

ramas técnicas de la informática y que disfruta
explorando los sistemas, forzando sus
capacidades y teniendo una comprensión
completa del funcionamiento interno de un
sistema.
Cracker: Es alguien que viola la seguridad de un

sistema de forma similar a como lo haría un
hacker, pero a diferencia, este lo hace por
beneficio personal o para hacer daño.
Profesionalización
Estructura mafiosa
ANONYMOUS
Ejemplo de Hacktivismo
 Bronc Buster, deshabilitó firewalls para permitir a los usuarios de
Internet Chinos acceder a sitios censurados.
 El 21 de enero de 2008, apareció un mensaje en YouTube de un grupo
que se llamaba así mismo 'Anonymous' en el que el grupo declaraba el
"Proyecto Chanology", una guerra a la Iglesia de la Cienciología, y
prometió expulsar sistemáticamente a la Iglesia de Internet. Durante la
semana siguiente, las páginas web de la cienciología fueron
intermitentemente hackeadas y la Iglesia de la Cienciología mudó su
página a un host que se especializa en la protección contra ataques de
denegación de servicio.
3 grupos principales de hacktivistas
1. Anonymous, el componente más conocido para el público. Sus miembros apoyan la
independencia de Internet y se oponen a todo aquel que impida el flujo de la
información. Sus métodos implican con frecuencia el uso de acciones de hacking,
como ataques DDoS o el robo y distribución de información personal y/o
confidencial
2. Ciberocupas, los verdaderos activistas. Utilizan Internet y las redes sociales
fundamentalmente para fomentar las relaciones y difundir la propaganda y la
información. En este grupo se incluyen los ciberdisidentes que, al igual que sus
homólogos en la vida real, han dejado de reconocer la legitimidad del poder político
al que se supone deben obedecer.
3. Ciberguerreros, patriotas que forman "ciberejércitos" muy habituales en muchos
países con tendencia totalitaria. Cierto o no, estos grupos dicen actuar en nombre de
sus gobiernos prestando su apoyo a movimientos nacionales y extremistas. Su
principal arma es la deformación de sitios web. Además, mediante el uso de
herramientas DDoS, hacen todo lo posible por silenciar a los disidentes.
¿Qué es anonymous?
 Es un movimiento internacional de ciberactivistas, formado por un número indeterminado de
personas que reciben ese nombre porque no revelan su identidad. Son anónimos.
 No hay líderes y todos son iguales. Están descentralizados.
 Anonymous es un seudónimo utilizado mundialmente por diferentes grupos e individuos para
realizar en su nombre acciones o publicaciones individuales o concertadas.
 Surgidos del imageboard 4chan, en un comienzo como un movimiento por diversión, desde el
2008 Anonymous se manifiesta en acciones de protesta a favor de la libertad de expresión, de
la independencia de Internet y en contra de diversas organizaciones, entre ellas, Daesh,
Scientology, servicios públicos, consorcios con presencia global y sociedades de derechos de
autor.
 Anonymous es una red distribuida. Se agrupan en 'colmenas' y suelen llevar a cabo sus
acciones tras someterlas a votación entre todos los miembros del grupo
 Más que un grupo, Anonymous es una idea. Es un meme que los miembros pueden adoptar
individualmente para actuar de forma anónima
Motivaciones de los grupos hacktivistas

Entre Anonymous, ciberocupas y ciberejércitos, a veces no es fácil
distinguir a los actores y llegar a entender sus motivaciones.
La falta de estructura, algunas operaciones hacktivistas no pasan de
ser bromas de mal gusto (lulz), mientras que otras pueden
relacionarse con actividades casi mafiosas (como el robo de datos
bancarios).
INDICE
• Criptografía
• Delitos tradicionales potenciados por sistemas de información.
Problemática de la investigación en internet desde una
perspectiva técnica
Identificación de Usuarios
 Falsos perfiles
 Redes Anónimas
 VPN
 Redes públicas
 Ubicación Global
 Jurisprudencia dependiente del país
Alto nivel de especialización

 Múltiples tecnologías (PC, móviles, IoT,…)
 Tecnologías de gran complejidad
 Alto ritmo de actualización y cambio
Procesamiento de datos
 Gran volumen de datos
 Cifrado de contenido -> caso IPhone atentado bomba
 Multitud te formatos
 Uso de diversas herramientas
Introducción a la ciberseguridad: tecnologías
 Evolución y contexto tecnológico actual.

 Redes y sistemas operativos.
 Virtualización.
 Cloud pública y privada.
Evolución y contexto tecnológico actual
Enorme evolución tecnológica en los últimos 40 años

¿Se ha tocado techo? ¿Se trata de una curva exponencial?
Sector Automovilístico
1986 2001 2016

Imagen
Impresoras
Comunicaciones
1996: 33.6 kbps
2006: 10Mbps -> x300
2016: 300Mbps -> x30
Computación
Osborne 1 - 1981 Thinkpad 345 - 1995 Thinkpad edge - 2010 Thinkpad - 2017
Almacenamiento
1996: 4GB
2006: 500gb -> x125
2016: 4000gb -> x8
¿Va existir entonces un frenazo evolutivo?

En absoluto, pero sí estamos viviendo un cambio sustancial en el

concepto, que introduce nuevos actores.

Redes y sistemas operativos
¿Qué es una RED de ordenadores?.

 Interconexión de distintos equipos informáticos.
 Que utilizan los mismos protocolos.
 Y son capaces de comunicarse.
Servidor Switch
Router y Firewall
Tipos de redes según tamaño:

 LAN: Local Area Network
 MAN: Metropolitan Area Network
 WAN: Wide Area Network
 PAN : Personal Area Network
Esquema físico red de servicios

¿Qué es el direccionamiento?
 Capacidad de transmitir un mensaje por una red conmutada.
Enrutamiento mediante direccionamiento:

 MAC a nivel enlace.
 IP a nivel red.
 Puerto a nivel transporte.
Formato de las direcciones IPv4:
172 . 16 . 254 . 1
10101100 00010000 11111110 00000001
192.168.1.123 192.168.1.1
A1:B2:C3:D4:E5 AA:BB:CC:DD:EE
¿Qué es necesario conocer para establecer una conexión con un

sistema remoto?.
 IP destino.
 Puerto destino.
1. El emisor envía el mensaje a su router de salida (gateway).

2. Éste lo renviará hacia otros routers que repetirán dicha operación.
3. El mensaje llega a su destino.
192.168.1.12 10.0.2.43
¿Qué son los protocolos?
Reglas usadas por los equipos informáticos para intercambiar información:
 Establecimiento de conexión y desconexión.
 Intercambio de información.
Para poder entenderse, los equipos han de utilizar los mismos protocolos.
Normalización de los protocolos mediante modelos basados en capas:

 A cada capa se le asigna una función y un protocolo especifico.
 Dos modelos importantes: OSI y TCP/IP.
Origen Destino
Aplicación Aplicación
Transporte Transporte
Red Red
Enlace Enlace
Física Física
El mensaje IP se forma por:
 La cabecera: indica todo lo necesario para que el paquete llegue a su destino
 Los datos: lugar donde va toda la información
¿Cómo se establece la conexión?
 La negociación de la conexión se realiza mediante tres pasos (TCP 3-way handshake)
1. SYN: Paquete de sincronización
2. ACK: Paquete de confirmación de llegada
3. Mediante el TCP 3-way handshake y sus

variantes, se realizan los escáneres de
puertos.
De esta manera es posible ver qué puertos

poseen los equipos objetivo y por cuales sería
posible entrar.
¿Qué son los puertos?
 Interfaz para comunicarse con un programa especifico a través de la red.
 Cada puerto únicamente puede proveer un servicio de forma simultánea.
Estado de los puertos:

 Abierto: en dicho puerto se provee un servicio.
 Filtrado: un firewall está restringiendo la conexión.
 Cerrado: en dicho puerto no se provee un servicio.
Algunos puertos y sus servicios más comunes:
Puerto Servicio
21 FTP
22 SSH
23 TELNET
53 DNS
80 HTTP
443 HTTPS
¿Qué son los servicios?
 Son los programas que se están ejecutando en cada uno de los puertos.
Algunos servicios comunes y su función:

 FTP: Protocolo para la transferencia de ficheros. Por defecto en el puerto 21.
 TELNET: Protocolo para el control remoto de sistemas a través de comandos . Por defecto en el puerto 23.
 DNS: Protocolo para la resolución de nombres de dominio. Por defecto en el puerto 53.
 HTTP: Protocolo utilizado para la comunicación con aplicaciones web. Por defecto en el puerto 80.
 HTTPS: Protocolo utilizado para la comunicación cifrada con aplicaciones web. Por defecto en el puerto 443.
¿Qué es un análisis de puertos?
 Un barrido de las conexiones establecidas a uno o varios puertos de un sistema.
¿Para qué sirve el análisis de puertos?

 Para averiguar qué puertos y servicios posee el sistema objetivo.
 Comúnmente con fines de administración de sistemas.
 Y en otras ocasiones con fines maliciosos.
¿Qué información puede obtener un atacante?

 Puntos de entrada al sistema.
 Servicios en ejecución.
 Versiones del software y los servicios.
¿Cómo se realiza el análisis de puertos?
El ordenador origen intenta establecer conexiones con cada uno de los puertos
del sistema a analizar. En función de la respuesta de cada uno de los puertos del
sistema analizado, se establece si el puerto está abierto, cerrado o filtrado.
SONDEO PUERTO 80
Tipos de escaneo de puertos
Existen varios tipos de escaneos de puertos con distintas características:
 Robustos.
 De evaluación de firewalls.
 De evasión de firewalls.
 Silenciosos.
 Ocultación.
TCP SCAN
 Establecimiento completo de una conexión.
 3-way handshake.
Stealth Scan (Half-Open Scan):
 Establecimiento incompleto de una conexión.
 Utilizado para la evasión de firewalls, de mecanismos de login y para ocultarse
en el tráfico.
ACK Scan:
 Envío únicamente de la confirmación de recepción.
 Utilizado para la detección de firewalls.
Xmas Scan:
 Envío de un paquete con todos los flags activados.
 No funciona contra sistemas Windows.
FIN Scan:
 Envío de un paquete con solo el flag FIN.
NULL Scan:
 Envío de un paquete sin flags activados.
UDP Scan:
 Envío de un paquete UDP no orientado a conexión, no existe 3-way handshake.
 Pocos servicios utilizan el protocolo UDP.
Fragmentación:
Técnica que combinada con el análisis de puertos permite la evasión de firewalls.
Cabecera Datos
Cabecera Datos fragmento 1 Cabecera Datos fragmento 2 Cabecera Datos fragmento 3

Port tunneling:
 Técnica que combinada con el análisis de puertos permite: la evasión de
firewalls y la ocultación.
TCP 21
TCP 80
IP Spoofing:
 IP Spoofing: Técnica que combinada con el análisis de puertos permite: Evasión de firewalls,
Ocultación y Suplantación.
 Cuando se realiza IP Spoofing, la respuesta de la víctima se dirige a la IP falseada.

 Esta técnica se suele utilizar para denegaciones de servicio o si el sistema de la IP falseada está bajo
nuestro control.
Elementos de seguridad
Sistemas operativos

Virtualización
Virtualización de Servidores
Virtualización
Virtualización de Redes – Redes definidas por Software


Cloud pública y privada
¿Qué es la nube?
 Nube Pública
¿Qué es la nube?
 Nube Privada
• Big Data
• Data mining
• Predicción del Lenguaje Natural
• Inteligencia Artificial
• Business Inteligence
• Indicadores de compromiso
Copyright
IHACKLABS LTD.
HM Revenue & Customs
Registrar of Companies for England and Wales
Company Number 10246354
All rights reserved. No part of this publication may be reproduced, distributed, or transmitted in any form or by any means, including photocopying, recording, or other
electronic or mechanical methods, without the prior written permission of the publisher, except in the case of brief quotations embodied in critical reviews and certain
other noncommercial uses permitted by copyright law.
176

01 - Fundamentos Basicos de La Ciberseguridad

Cargado por

Información del documento

Título original

Derechos de autor

Formatos disponibles

Compartir este documento

Compartir o incrustar documentos

Opciones para compartir

¿Le pareció útil este documento?

¿Este contenido es inapropiado?

Copyright:

Formatos disponibles

01 - Fundamentos Basicos de La Ciberseguridad

Cargado por

Copyright:

Formatos disponibles

Fundamentos Básicos de la Ciberseguridad

 Introducción a la ciberseguridad: tecnologías.

 Ciberseguridad estamos hablando de amenazas, de entender lo que

 La diferencia entre vulnerabilidad y amenaza es muy interesante,

Las vulnerabilidades son las condiciones y características propias de

Problema: si existe una vulnerabilidad, siempre existirá alguien que

Amenaza Vulnerabilidad propia del sistema

 El riesgo depende entonces de los siguientes factores: la probabilidad de

El riesgo es la probabilidad de que una amenaza

 Podemos identificar los activos críticos de los sistemas de

 Controles preventivos: eliminan o reducen la posibilidad de que las amenazas lleguen a

Spear Phising Attack

La criptografía nació como la ciencia de ocultar mensajes, sea, cifrarlos

Resumen: Se cifra y descifra con la misma clave

Cada participante tiene dos claves.

 La función es unidireccional, de la información se puede calcular el

• MD5 “roto” en el 2017

• SHA-1 “roto” en el 2017

 El derecho a la privacidad y el anonimato son temas que hoy en día

 El uso de plataformas anónimas se ha convertido en los últimos años

 VPN (Virtual Private Network) es una tecnología que permite crear

 El mensaje es cifrado aplicando

 Los ficheros almacenados en un nodo (datastore) se encuentran

 Completamente centralizada, donde un conjunto de servidores

Hacker: Es una persona experta en una o varias

Cracker: Es alguien que viola la seguridad de un

Motivaciones de los grupos hacktivistas

Alto nivel de especialización

 Evolución y contexto tecnológico actual.

Enorme evolución tecnológica en los últimos 40 años

1986 2001 2016

¿Va existir entonces un frenazo evolutivo?

En absoluto, pero sí estamos viviendo un cambio sustancial en el

 Evolución y contexto tecnológico actual.

¿Qué es una RED de ordenadores?.

Tipos de redes según tamaño:

Esquema físico red de servicios

Enrutamiento mediante direccionamiento:

Formato de las direcciones IPv4:

¿Qué es necesario conocer para establecer una conexión con un

1. El emisor envía el mensaje a su router de salida (gateway).

Normalización de los protocolos mediante modelos basados en capas:

1. SYN: Paquete de sincronización

2. ACK: Paquete de confirmación de llegada

3. Mediante el TCP 3-way handshake y sus

De esta manera es posible ver qué puertos

Estado de los puertos:

Algunos servicios comunes y su función:

¿Para qué sirve el análisis de puertos?

¿Qué información puede obtener un atacante?

Cabecera Datos fragmento 1 Cabecera Datos fragmento 2 Cabecera Datos fragmento 3

 Cuando se realiza IP Spoofing, la respuesta de la víctima se dirige a la IP falseada.

 Evolución y contexto tecnológico actual.

Virtualización de Redes – Redes definidas por Software

 Evolución y contexto tecnológico actual.

También podría gustarte