TÉCNICAS DE ATAQUE Y

DEFENSA
Introducción a la
Ingeniería Social
Concepto de Ingeniería Social
La ingeniería social es el acto de robo de información de las personas.
Como no tiene ninguna interacción con el sistema o la red de destino,
se considera un ataque no técnico. La ingeniería social se considera
como el arte de convencer al objetivo para que revele información.
Puede ser una interacción física directa con la victima, o convencer a la
victima en cualquier plataforma, como las redes sociales; las redes
sociales son una plataforma popular para la ingeniería social. Se
encuentra el hecho de que las personas son descuidadas o no son
conscientes de la importancia de la valiosa información que poseen.
Vulnerabilidades ante los ataques de
Ingeniería Social
Una de las principales vulnerabilidades que conduce a este tipo de
ataque es la "Confianza". El usuario confía en otro usuario y no protege
sus credenciales. Esto puede conducir a un ataque por parte del usuario,
ya que la segunda persona puede revelar la información a una tercera
persona.
Las organizaciones que desconocen los ataques de Ingeniería Social, su
contramedida y precaución también son vulnerables a este ataque. Un
programa de capacitación y educación insuficiente de los empleados crea
una vulnerabilidad en la seguridad contra la Ingeniería Social. Cada
organización debe capacitar a sus empleados para estar al tanto de la
ingeniería social.
Cada organización debe asegurar su infraestructura físicamente. Un
empleado que tenga un nivel diferente de autoridad debe tener
restricciones para desempeñarse en sus privilegios restringidos. El
empleado no puede acceder a los departamentos, como el
departamento de Finanzas, debe restringirse solo a sus departamentos
permitidos. En el caso de que un empleado sea libre de moverse, puede
realizar ataques de ingeniería social mediante Dumpster Diving o
Shoulder surfing.
La falta de políticas de seguridad y privacidad también son vulnerables.
Las políticas de seguridad deben ser lo suficientemente fuertes como
para evitar que un empleado se haga pasar por otro usuario. Se debe
mantener la privacidad entre personas o clientes no autorizados y el
empleado de una organización para mantener las cosas seguras contra
el acceso no autorizado o el robo.
Fases de un ataque de Ingeniería Social
Los ataques de ingeniería social no son ataques complejos que
requieren un fuerte conocimiento técnico, es un acto de robo de
información de las personas. Sin embargo, los ataques de Ingeniería
Social se realizan siguiendo los pasos que se mencionan a continuación:
• Investigación: La fase de investigación incluye una recopilación de
información sobre la organización objetivo. Puede ser recolectado en
el contenedor de basura, escaneando los sitios web de la
organización, buscando información en Internet, recopilando
información de los empleados de la organización objetivo, etc.
• Seleccionar objetivo: En la selección del objetivo, el atacante
selecciona el objetivo entre los empleados de una organización. Un
objetivo frustrado es más preferido ya que será fácil revelar
información de él.
• Relacionamiento: La fase de relación incluye crear una relación con el
objetivo de la forma en que no pudo identificar la intención; de
hecho, el objetivo será confiar en el atacante. Más nivel de confianza
entre el objetivo y el atacante será más fácil de revelar información.
• Explotación: Explotar la relación mediante una recopilación de
información confidencial, como nombre de usuario, contraseñas,
información de red, etc.
Tipos de Ingeniería
Social
Ingeniería Social basada en personas
La Ingeniería Social basada en personas incluye interacción uno a uno
con el objetivo. El atacante recopila información confidencial mediante
trucos, como garantizar la confianza, aprovechar los hábitos, el
comportamiento y la obligación moral.
• Suplantación: Suplantar es una técnica de ingeniería social basada en
el ser humano. Suplantación significa simular ser alguien o algo.
Suplantar en ingeniería social es fingir que un atacante es un usuario
legítimo o fingir ser una persona autorizada. Esta suplantación puede
ser personal o detrás de un canal de comunicación, como cuando se
comunica con correo electrónico, teléfono, etc.
• Eavesdropping and Shoulder Surfing: Eavesdropping es una técnica
en la que el atacante se revela información al escuchar la
conversación de forma encubierta. No solo incluye escuchar
conversaciones; incluye leer o acceder a cualquier fuente de
información sin ser notificado. Shoulder surfing es un método para
recopilar información al pararse detrás de un objetivo cuando
interactúa con información confidencial.

Eavesdropping Shoulder Surfing

• Dumpster diving: Dumpster Diving es el proceso de buscar
información en la basura. Esta técnica es más antigua pero sigue
siendo efectiva. Incluye el acceso a la basura del objetivo, como la
papelera de la impresora, el escritorio del usuario, la basura de la
empresa para encontrar facturas telefónicas, información de
contacto, información financiera, códigos fuente y otro material útil.
• Ingeniería Social reversa: Un ataque de ingeniería social inverso
requiere la interacción del atacante y la víctima, donde un atacante
convence al objetivo de tener un problema o podría tener un
problema en el futuro. Si la víctima está convencida, proporcionará la
información requerida por el atacante.
• Piggybacking y Tailgating: Tailgating es una técnica similar.
Piggybacking es la técnica en la cual una persona no autorizada
espera a que una persona autorizada ingrese en un área restringida,
mientras que Tailgating es la técnica en la que una persona no
autorizada obtiene acceso al área restringida siguiendo a la persona
autorizada. Mediante el uso de identificaciones falsas y seguimiento
cercano al cruzar el punto de control, hacer trampas se vuelve fácil.
Ingeniería Social basada en computadoras
Hay diferentes formas de realizar Ingeniería Social basada en
computadora, incluyendo ventanas emergentes que requieren
credenciales de inicio de sesión, mensajes de Internet, correos
electrónicos falsos, letras en cadena y correo no deseado.
Phishing
Es una técnica en la que el correo electrónico falso que parece correo
electrónico legítimo se envía a un host de destino. Cuando el
destinatario abre el enlace, se siente atraído por proporcionar
información. Por lo general, los lectores son redirigidos a la página web
falsa que se asemeja a un sitio web oficial. El usuario proporciona toda
la información confidencial a un sitio web falso que cree que es un sitio
web oficial debido a su parecido.
Spear Phishing
Spear Phishing es un tipo de phishing que se centra en un objetivo. Este
es un ataque de phishing dirigido a un individuo. Spear phishing genera
una tasa de respuesta más alta en comparación con un ataque
aleatorio de phishing.
Ingeniería social basada en dispositivos
móviles
• Publicar aplicaciones maliciosas: En Ingeniería social basada en
dispositivos móviles, una técnica consiste en publicar aplicaciones
maliciosas en la tienda de aplicaciones para que estén disponibles
para su descarga a gran escala. Estas aplicaciones maliciosas son
normalmente una réplica o copia similar de una aplicación popular.
Por ejemplo, un atacante puede desarrollar una aplicación maliciosa
para Facebook. El usuario en lugar de descargar una aplicación oficial
puede descargar accidental o intencionalmente esta aplicación
maliciosa de terceros. Cuando un usuario inicia sesión, esta aplicación
maliciosa enviará las credenciales de inicio de sesión al servidor
remoto controlado por el atacante.
• Reempaquetado de aplicaciones legítimas: En Ingeniería social
basada en dispositivos móviles, otra técnica es reempaquetar una
aplicación legítima con malware. El atacante inicialmente descarga
una aplicación popular y más solicitada de la tienda de aplicaciones,
por lo general, los juegos y los antivirus son los más utilizados. El
atacante vuelve a empaquetar la aplicación con malware y la carga en
una tienda de terceros. Es posible que el usuario no conozca la
disponibilidad de esa aplicación en la tienda de aplicaciones u
obtenga un enlace para descargar gratis una aplicación paga. En lugar
de descargar desde una aplicación oficial de una tienda confiable, un
usuario descarga accidental o intencionalmente esta aplicación
reempaquetada de la tienda de terceros. Cuando un usuario inicia
sesión, esta aplicación maliciosa enviará las credenciales de inicio de
sesión al servidor remoto controlado por el atacante.
• Fake Security Apps: Similar a la técnica anterior, un atacante puede
desarrollar una aplicación de seguridad falsa. Esta aplicación de
seguridad puede descargarse mediante una ventana emergente
cuando el usuario navega por el sitio web en Internet.
Ataque Interno
La ingeniería social no se trata solo de una tercera persona que recopila
información sobre su organización. Puede ser personal interno de la
organización con o sin accesos privilegiados, espiando a la organización por
intenciones maliciosas. Un ataque interno de información privilegiada son
aquellos ataques que llevan a cabo estos expertos. Estos expertos pueden ser
apoyados por la competencia de una organización. La competencia puede
apoyar a una persona en una organización para revelar información
confidencial y secretos.
Además de espiar, pueden tener la intención de vengarse. Una persona
descontenta en una organización puede comprometer la información
confidencial y sensible para vengarse. Un empleado puede ser una persona
descontenta cuando no está satisfecho con la administración.
Contramedidas de
Ingeniería Social
Los ataques de ingeniería social pueden mitigarse por varios métodos.
La privacidad en el entorno corporativo es necesaria para mitigar las
amenazas de shoulder surfing y dumpster diving. Configurar una
contraseña segura, proteger las contraseñas y mantenerlas en secreto
contrarrestara la ingeniería social. Las redes sociales siempre son un
riesgo de fuga de información, pero ahora, las redes social también se
está convirtiendo en una plataforma importante para las
organizaciones. Seguir monitoreando las plataformas de redes sociales,
el registro, la capacitación, el conocimiento y la auditoría pueden
reducir efectivamente el riesgo de ataques de ingeniería social.
ANALIZAR VIDEO “EJEMPLO DE ATAQUE DE INGENIERÍA SOCIAL”
Introducción a la
Denegación de
Servicios
Concepto de Denegación de Servicio (DoS)
La denegación de servicio (DoS) es un tipo de ataque en el que se niega
el servicio ofrecido por un sistema o una red. Los servicios pueden
denegarse, reducir la funcionalidad o impedir el acceso a los recursos,
incluso a los usuarios legítimos. Existen varias técnicas para realizar
ataques DoS, como generar una gran cantidad de solicitudes al sistema
de destino para el servicio. Este gran número de solicitudes entrantes
sobrecarga la capacidad del sistema.
Síntomas comunes de un ataque DoS
• Rendimiento lento.
• Aumento de correos electrónicos no deseados.
• Indisponibilidad de un recurso.
• Pérdida de acceso a un sitio web.
• Desconexión de una conexión a internet inalámbrica o por cable.
• Denegación de acceso a cualquier servicio de internet.
Denegación de Servicio Distribuida (DDoS)
Al igual que la Denegación de servicio en la que un atacante está
intentando un ataque DoS, en el ataque Distribuido DoS, múltiples
sistemas comprometidos están involucrados para atacar a un objetivo
que causa una denegación de servicio. Las botnets se usan para el
ataque DDoS.
Funcionamiento de los DDoS
Normalmente, el establecimiento de una conexión consiste en algún paso en el
que un usuario envía una solicitud a un servidor para autenticarla. El servidor
regresa con la aprobación de autenticación. El usuario solicitante reconoce esta
aprobación, y luego la conexión se establece y se permite en el servidor.
En el proceso de ataque de DoS, el atacante envía varias solicitudes de
autenticación al servidor. Estas solicitudes tienen direcciones de retorno falsas,
por lo que el servidor no puede encontrar un usuario para enviar la aprobación
de autenticación. Este proceso de autenticación espera un cierto tiempo para
cerrar la sesión. El servidor generalmente espera más de un minuto, antes de
cerrar la sesión. El atacante está enviando continuamente solicitudes que
provocan una serie de conexiones abiertas en el servidor que resultan en la
denegación de servicio.
Técnicas de ataque
Dos y DDoS
Categorías básicas de ataques DoS / DDoS
• Ataques Volumétricos: Ataque de denegación de servicio realizado
mediante el envío de una gran cantidad de tráfico hacia el objetivo.
Los ataques volumétricos se centran en sobrecargar la capacidad de
consumo de ancho de banda. Estos ataques volumétricos se intentan
con la intención de ralentizar el rendimiento, la degradación de los
servicios. Por lo general, estos ataques consumen ancho de banda en
cientos de Gbps de ancho de banda.
• Ataques de Fragmentación: Los ataques de fragmentación DoS son
los ataques que fragmentan el datagrama IP en múltiples paquetes de
menor tamaño. Este paquete fragmentado requiere un reensamblaje
en el destino que requiere recursos de enrutadores.
• Ataques de agotamiento TCP: Los ataques de agotamiento TCP se
centran en servidores web, cortafuegos, equilibradores de carga y
otros componentes de infraestructura para interrumpir las conexiones
al consumir las tablas de estado de conexión. Los ataques de
agotamiento TCP provocan el agotamiento de su número finito de
conexiones simultáneas que el dispositivo de destino puede admitir. El
ataque de agotamiento de estado más común es el ping de la muerte.
• Ataques a la capa de Aplicación: Un ataque DDoS de capa de
aplicación también se llama ataque DDoS de capa 7. El ataque DoS a
nivel de aplicación es una forma de ataque que enfoca la capa de
aplicación del modelo OSI, lo que resulta en la negación o degradación
de un servicio. El ataque a nivel de aplicación sobrecarga el servicio o
las características particulares de un sitio web o aplicación con la
intención de denegación o indisponibilidad.
Técnicas de Ataque Dos/DDoS
• Ataques de Ancho de Banda: El ataque de ancho de banda requiere
múltiples fuentes para generar una solicitud para sobrecargar el objetivo.
El ataque DoS usando una sola máquina no es capaz de generar
suficientes solicitudes que pueden abrumar el servicio. El ataque
distribuido-dos es una técnica muy efectiva para inundar solicitudes
hacia un objetivo usando el ataque distribuido. Los zombis son el sistema
comprometido que es controlado por la computadora maestra (atacante)
o que dirige a los zombis a través del controlador que proporciona
soporte para iniciar un ataque DDoS. Las botnets también se utilizan para
realizar ataques DDoS inundando el paquete ICMP en una red. El objetivo
del ataque de ancho de banda es consumir el ancho de banda por
completo; no queda ancho de banda incluso para uso legítimo.
• Inundación de solicitud de un servicio: Es un ataque DoS en el que el
atacante inunda la solicitud hacia un servicio como una aplicación web o
un servidor web hasta que todo el servicio se sobrecarga. Cuando un
usuario legítimo intenta iniciar una conexión, el atacante ha denegado
la conexión TCP repetida y ha consumido todos los recursos hasta el
agotamiento.
• SYN Attack / Flooding: SYN Attack o SYN Flooding explota el three-way
handhsake. Lo que realiza el atacante es enviar una gran cantidad de
solicitudes SYN a un servidor de destino con la intención de trabar un
sistema. Esta solicitud SYN tiene una dirección IP de origen falsa que no
puede encontrar la víctima. La víctima espera el acknowledment de la
dirección IP, pero no habrá respuesta ya que la dirección de origen de la
solicitud SYN entrante era falsa. Este período de espera vincula una
conexión a "escuchar la cola" al sistema porque el sistema no recibirá un
ACK. Una conexión incompleta se puede trabar por 75 segundos.
• ICMP Flood Attack: El Protocolo de mensajes de control de Internet
(ICMP) es utilizado por atacantes al enviar peticiones ICMP. ICMP es un
protocolo de soporte utilizado por dispositivos de red para operar
información, errores e indicaciones. Estas solicitudes y sus respuestas
consumen recursos del dispositivo de red. Por lo tanto, al inundar la
solicitud ICMP sin esperar respuesta, se abruman los recursos del
dispositivo.
• Ataques Punto a Punto: Un ataque DDoS punto a punto explota errores
en servidores punto a punto o tecnología de peering usando el protocolo
Direct Connect (DC ++) para ejecutar un ataque DDoS. Las redes punto a
punto se implementan entre una gran cantidad de hosts. Uno o más hosts
maliciosos en una red punto a punto pueden realizar ataques DDoS. Los
ataques DoS o DDoS pueden tener diferentes niveles de influencia
basados ​en varias topologías de red punto a punto. Al explotar una gran
cantidad de hosts distribuidos, un atacante puede lanzar fácilmente un
ataque DDoS al objetivo.
• Ataque permanente de denegación de servicio: El ataque
permanente de denegación de servicio es el ataque DoS que en lugar
de centrarse en la denegación de servicios, se centró en el sabotaje
de hardware. El hardware afectado por el ataque PDoS está dañado y
requiere el reemplazo o la reinstalación del hardware. PDoS se realiza
mediante un método conocido como "Phlaching" que causa daños
irreversibles al hardware o "Bricking a System" al enviar
actualizaciones de hardware fraudulentas. Una vez que la víctima
ejecuta accidentalmente este código malicioso, se ejecuta.
• Application Level Flood Attacks: Los ataques a nivel de aplicación se
centran en la capa de aplicación dirigida al servidor de aplicaciones o
al equipo cliente que ejecuta aplicaciones. El atacante encuentra
fallas en una aplicación o sistema operativo y aprovecha la
vulnerabilidad para evitar el control de acceso y obtener un control
privilegiado completo sobre la aplicación, sistema o red.
• Denegación de Servicio de Reflexión Distribuida (DRDoS): El ataque
de denegación de servicio de reflexión distribuida es el tipo de ataque
DoS en el que las víctimas intermedias y secundarias también están
involucradas en el proceso de lanzamiento de un ataque DoS. El
atacante envía solicitudes a la víctima intermediaria que redirige el
tráfico hacia la víctima secundaria. La víctima secundaria redirige el
tráfico hacia el objetivo. La participación de la víctima intermedia y
secundaria es para suplantar el ataque.
Botnets
Concepto de Botnet
Las botnets se usan para realizar continuamente una tarea. Estas
botnets maliciosas obtienen acceso a los sistemas mediante códigos y
scripts maliciosos, alerta a la computadora maestra cuando el sistema
está controlado por la botnet. A través de esta computadora maestra,
un atacante puede controlar el sistema y emitir solicitudes para
intentar un ataque DoS.
Configuración de Botnet
Las Botnet generalmente se configura mediante la instalación de un bot
en una victima utilizando un troyano. El troyano lleva el bot en su
código interno, que se envía a la víctima mediante phishing,
redirigiendo a un sitio web malicioso o un sitio web legítimo
comprometido. Una vez que se ejecute este troyano, la víctima se
infectará y se la controlará, enviando las instrucciones a los sistemas
infectados (Bots) para intentar atacar a un objetivo primario.
Contramedidas de
Ataques DoS
Defensa de ataques DoS
Se han desarrollado diferentes medidas para contrarrestar la sobrecarga causada por
ataques DoS y DDoS. Es fundamental identificar las direcciones IP críticas, así como
posibles vulnerabilidades del sistema. También es necesario disponer de recursos de
hardware y software que permitan bloquear ataques leves.
• Lista de IP bloqueadas: Las listas negras permiten la identificación de las direcciones
IP críticas y el descarte de paquetes. Esta medida de seguridad puede ser
implementada de forma manual o automática a través de las políticas del firewall.
• Filtros: Es posible definir límites en la cantidad de datos procesados simultáneamente
para filtrar, así, todo tipo de paquetes anormales. En este punto es importante
considerar que, muchas veces, los proxys permiten que muchos clientes se conecten
desde una misma dirección IP del servidor, lo que puede generar su bloqueo sin razón
aparente.
• SYN cookies: La información sobre los paquetes SYN ya no se
almacenan en el servidor, sino que se envía como una cookie
encriptada al cliente. De esta forma, un ataque de SYN flood
compromete la capacidad del equipo pero no la memoria del sistema.
• Balanceo de carga: una medida eficaz contra la sobrecarga es la
distribución de la carga en diferentes sistemas. La utilización de
balanceadores de carga permite extender los servicios a múltiples
máquinas físicas. De esta forma, y hasta cierto punto, se pueden
controlar los ataques DoS y DDoS.
Herramientas
Slow HTTP Test

SlowHTTPTest es una
herramienta altamente
configurable que simula
algunos ataques de
denegación de servicio de la
capa de aplicación.
Implementa los ataques DoS
de capa de aplicación de bajo
ancho de banda más comunes.
Hping3

Es una aplicación que permite

modificar los paquetes que se
envían a través del protocolo
TCP/IP de manera que
podamos disponer de un
control mucho mayor de estos
paquetes, pudiendo adaptarlos
en función de nuestras
necesidades.
HOIC

High Orbit Ion Cannon es una

aplicación de ataque de
denegación de servicio y
prueba de estrés de red de
código abierto diseñada para
atacar hasta 256 URL al mismo
tiempo.
Social Engineering Toolkit (SET)

SET es una suite dedicada a la

ingeniería social , que permite
automatizar tareas que van desde
el de envío de SMS falsos, con los
que podemos suplantar el
numero telefónico que envía el
mensaje, a clonar cualquier
pagina web y poner en marcha un
servidor para hacer phishing en
cuestión de segundos
SpeedPhish Framework (SPF)

Es una herramienta de Python

diseñada para permitir el
reconocimiento rápido y la
implementación de ejercicios
simples de phishing.