Curso de ciberseguridad capitulo 2

Apuntes de: Diego Coronado
Tomada de: Curso de Introduction To Cybersecurity de Cisco Networking Academy
2

CURSO DE CIBERSEGURIDAD: INTRODUCCION A LA CIBERSEGURIDAD
CAPITULO 2
PRACTICA DE TERMINOS Y CONCEPTOS
Este capítulo abarca las maneras en que los profesionales de la ciberseguridad
analizan qué ocurrió después de un ciberataque. Explica las vulnerabilidades de software
y hardware de seguridad y las distintas categorías de las vulnerabilidades de seguridad.
Analiza los diferentes tipos de software malicioso (conocido como malware) y los
síntomas de malware. Cubre las diferentes maneras en que los atacantes pueden
infiltrarse en un sistema, así como los ataques de denegación de servicio. LA MAYORÍA
DE LOS CIBERATAQUES MODERNOS SE CONSIDERAN ATAQUES CO MBINADOS.
Los ataques combinados usan varias técnicas para infiltrarse en un sistema y atacarlo.
Cuando un ataque no puede evitarse, es el trabajo del profesional de ciberseguridad
reducir el impacto de dicho ataque.
BUSQUEDA DE VULNERABILIDADES EN LA SEGURIDAD
Las VULNERABILIDADES DE SEGURIDAD SON CUALQUIER TIPO DE DEFECTO
EN SOFTWARE O HARDWARE. Después de obtener conocimientos sobre una
vulnerabilidad, los usuarios malintencionados intentan explotarla.
 Un ataque es el término que se utiliza para describir un programa escrito para
aprovecharse de una vulnerabilidad conocida.
El acto de aprovecharse de una vulnerabilidad se conoce como ataque.
EL OBJETIVO DEL ATAQUE ES ACCEDER A UN SISTEMA , los datos que aloja o
recursos específicos.
VULNERABILIDADES DEL SOFTWARE
Las vulnerabilidades de software generalmente se introducen por errores en el sistema
operativo o el código de aplicación.
a pesar de todos los esfuerzos realizados por las empresas para encontrar y corregir
las vulnerabilidades, es común que surjan nuevas vulnerabilidades. Microsoft, Apple y
otros productores de sistemas operativos lanzan parches y actualizaciones casi todos los
días.
Las actualizaciones de las aplicaciones también son comunes. Las aplicaciones como
navegadores web, aplicaciones móviles y servidores web son actualizadas con frecuencia
por las empresas y las organizaciones responsables de estas.
El objetivo de las actualizaciones de software es mantenerse actualizado y evitar el
aprovechamiento de vulnerabilidades.
Algunas empresas tienen equipos de prueba de penetración dedicados a la búsqueda y
la corrección de vulnerabilidades de software antes de que puedan ser aprovechadas, hay
investigadores de seguridad independientes que también se especializan en la búsqueda
de vulnerabilidades de software.

Apuntes de: Diego Coronado
Tomada de: Curso de Introduction To Cybersecurity de Cisco Networking Academy
3

El Proyecto Zero de Google es un excelente ejemplo de esta práctica. Después de
descubrir varias vulnerabilidades en los diversos programas de software utilizados por los
usuarios finales, Google formó un equipo dedicado a encontrar vulnerabilidades de
software.
VULNERABILLIDADES DEL HARDWARE
Las vulnerabilidades de hardware se presentan a menudo mediante defectos de diseño
del hardware.
Las vulnerabilidades de hardware se presentan a menudo mediante defectos de diseño
del hardware. La memoria RAM, por ejemplo, consiste básicamente en capacitores
instalados muy cerca unos de otros. Se descubrió que, debido a la cercanía, los cambios
constantes aplicados a uno de estos capacitores podían influir en los capacitores vecinos.
Por esta falla de diseño, se generó una vulnerabilidad llamada ROWHAMMER.
Mediante la reescritura repetida de memoria en las mismas direcciones, el ataque
Rowhammer permite que se recuperen los datos de las celdas de memoria de direcciones
cercanas, incluso si las celdas están protegidas.
Las vulnerabilidades de hardware son específicas de los modelos de dispositivos y
generalmente no se ven atacadas por intentos comprometedores aleatorios. Si bien las
vulnerabilidades de hardware son más comunes en ataques altamente dirigidos, la
protección contra malware tradicional y la seguridad física son suficientes para proteger al
usuario común.
CLASIFICACION DE LAS VULNERABILIDADES EN LA SEGURIDAD
La mayoría de las vulnerabilidades en la seguridad del software se incluye en una de
las siguientes categorías:
 Desbordamiento del búfer: esta vulnerabilidad ocurre cuando los datos se escriben
más allá de los límites de un búfer. Los búferes son áreas de memoria asignadas a
una aplicación. Al cambiar los datos más allá de los límites de un búfer, la
aplicación accede a la memoria asignada a otros procesos. Esto puede llevar a un
bloqueo del sistema, comprometer los datos u ocasionar el escalamiento de los
privilegios.









Aclarando…
Es un error de software que se produce cuando un programa no controla adecuadamente la
cantidad de datos que se copian sobre un área de memoria reservada a tal efecto (buffer), de
forma que si dicha cantidad es superior a la capacidad pre asignada los bytes sobrantes se
almacenan en zonas de memoria adyacentes, sobrescribiendo su contenido original.

Apuntes de: Diego Coronado
Tomada de: Curso de Introduction To Cybersecurity de Cisco Networking Academy
4

Un ejemplo de un programa desbordable sería el siguiente:
#include <stdio.h>
main()
{
char userinput[50];
printf("Introduce una cadena: ");
scanf("%s", &userinput); /* posible buffer overflow */
return 0;
}

El programa anterior generará un desbordamiento de buffer si el usuario introduce una
cadena mayor que 50 caracteres pues la misma se usa para llenar un buffer, sin validar
previamente su longitud. Cadenas menores a 50 caracteres no provocaran
inconvenientes. Un atacante podría introducir datos que contengan código de shell y
luego forzar a que lo ejecute en lugar de que vuelva de la función main.
 Entrada no validada: los programas suelen trabajar con la entrada de datos. Estos
datos que entran al programa pueden tener contenido malicioso diseñado para
que el programa se comporte de manera no deseada. Considere un programa que
recibe una imagen para procesar. Un usuario malintencionado podría crear un
archivo de imagen con dimensiones de imagen no válidas. Las dimensiones
creadas maliciosamente podrían forzar al programa a asignar búferes de tamaños
incorrectos e imprevistos.
 Condiciones de carrera: esta vulnerabilidad sucede cuando el resultado de un
evento depende de resultados ordenados o temporizados. Una condición de
carrera se convierte en una fuente de vulnerabilidad cuando los eventos
ordenados o temporizados requeridos no se producen en el orden correcto o el
tiempo adecuado.




Las condiciones de carrera en un sistema informático se producen siempre y
cuando varios procesos o tareas acceden a un recurso compartido, tales como
memoria, discos dispositivos de entrada/salida cambiando temporalmente su
estado que es reportado a otro proceso como un error. Por ejemplo, se trata de
leer un archivo de texto mientras que otro proceso escribe en él al mismo tiempo.

Supongamos que dos procesos P1 y P2 comparten la variable global a, en algún
punto de su ejecución P1 actualiza a al valor 1 y en el mismo punto de su
ejecución, P2 actualiza a al valor 2; así las dos tareas compiten en una carrera por
Aclarando…
Una condición en la cual múltiples hilos o procesos leen y escriben un dato compartido y el
resultado final depende de la condición relativa de sus ejecuciones,

Apuntes de: Diego Coronado
Tomada de: Curso de Introduction To Cybersecurity de Cisco Networking Academy
5

escribir la variable a. En este ejemplo el “perdedor” de la carrera (el proceso que
actualiza el último) determina el valor de a.
 Debilidades en las prácticas de seguridad: los sistemas y los datos confidenciales
pueden protegerse con técnicas tales como autenticación, autorización y
encriptación. Los desarrolladores no deben intentar crear sus propios algoritmos
de seguridad porque es probable que introduzcan vulnerabilidades. Se recomienda
encarecidamente que los desarrolladores utilicen las bibliotecas de seguridad ya
creadas, aprobadas y verificadas.
 Problemas de control de acceso: el control de acceso es el proceso de controlar
quién hace qué y va desde la administración del acceso físico a los equipos hasta
determinar quién tiene acceso a un recurso, por ejemplo, un archivo, y qué pueden
hacer con este, como leerlo o modificarlo. Muchas vulnerabilidades de seguridad
se generan por el uso incorrecto de los controles de acceso.
Casi todos los controles de acceso y las prácticas de seguridad pueden superarse
si el atacante tiene acceso físico a los equipos objetivo. Por ejemplo, no importa
que haya configurado los permisos de un archivo, el sistema operativo no puede
evitar que alguien eluda el sistema operativo y lea los datos directamente del
disco. Para proteger los equipos y los datos contenidos, el acceso físico debe
restringirse y deben usarse técnicas de encriptación para proteger los datos contra
robo o daño.
En resumen:
se denomina ENTRADA NO VALIDADA cuando los datos que entran al programa como
contenido malicioso diseñado para que este se comporte de manera no deseada.
se denomina DEBILIDAD EN LAS PRACTICAS DE SEGURIDAD cuando los
desarrolladores intentan crear sus propias aplicaciones de seguridad.
se denominan CONDICIONES DE CARRERA cuando el resultado de un evento
depende de los resultados ordenados.
se denomina DESBORDAMIENTO DEL BUFER cuando una aplicación maliciosa
accede a la memoria asignada a otros procesos.
se denomina problemas de control de acceso a la regulación incorrecta de quién hace
qué y qué puede hacer con los recursos
TIPOS DE MALWARE
Malware, acrónimo para el inglés “Malicious Software” (Software malicioso), es
cualquier código que pueda utilizarse para robar datos, evitar los controles de acceso,
ocasionar daños o comprometer un sistema.
A continuación, se encuentran algunos TIPOS comunes de malware:
 Spyware: este malware está diseñado para
RASTREAR Y ESPIAR AL USUARIO , El spyware
a menudo incluye rastreadores de actividades,
recopilación de pulsaciones de teclas y captura
de datos. En el intento por superar las medidas

Apuntes de: Diego Coronado
Tomada de: Curso de Introduction To Cybersecurity de Cisco Networking Academy
6

de seguridad, el spyware a menudo modifica las configuraciones de seguridad. El
spyware con frecuencia se agrupa con el software legítimo o con caballos
troyanos.
los siguientes son unos consejos prácticos para evitar el spyware:
o Descargar todos los programas de fuentes fiables.
o Mantener actualizado el sistema operativo y los navegadores web que
utiliza.
o Instalar antivirus y activar el firewall y cortafuegos para que se actualicen
automáticamente.
o Utilice contraseñas de alta seguridad.
o Instalar programas antimalware que proporcione protección en tiempo real.

 Adware: el software de publicidad está DISEÑADO PARA BRINDAR ANUNCIOS
AUTOMÁTICAMENTE . El adware a veces se
instala con algunas versiones de software. Algunos
adware están diseñados para brindar solamente
anuncios, pero también es común que el adware
incluya spyware. Consejos para evitar el adware:
o No hacer clic en los anuncios sospechosos.
o Instalar un antivirus (probablemente tengas que tener un plan de pago ya
que los antivirus con plan free no detecten este tipo de malware).

 Bot: de la palabra robot, un bot ES UN MALWARE DISEÑADO PARA REALIZAR
ACCIONES AUTOMÁTICAMENTE, GENERALMENTE EN LÍNEA. Si bien la
mayoría de los bots son inofensivos, un uso cada
vez más frecuente de bots maliciosos es el de los
botnets. Varias computadoras pueden infectarse
con bots programados para esperar
silenciosamente los comandos provistos por el
atacante. Existen los bots conversacionales que
son programas informáticos que se hacen pasar por una persona real en un
programa de mensajería instantánea. Consejos para evitar los botnets:
o Asegurarse de tener un programa antivirus actualizado.
o Tener el sistema operativo actualizado.
o Crear contraseñas fuertes.
o Solo bajar software gratuito de sitios que conozcas y confíes.
o No abrir anexos en correos electrónicos sospechosos.
o No hacer clic en enlaces incluidos en un correo electrónico

Apuntes de: Diego Coronado
Tomada de: Curso de Introduction To Cybersecurity de Cisco Networking Academy
7

 Ransomware: El ransomware es un programa de software malicioso que
INFECTA TU COMPUTADORA Y MUESTRA MENSAJES QUE EXIGEN EL
PAGO DE DINERO PARA RESTABLECER EL FUNCIONAMIENTO DEL
SISTEMA. Este tipo de malware es un sistema criminal para ganar dinero que se
puede instalar a través de enlaces engañosos
incluidos en un mensaje de correo electrónico,
mensaje instantáneo o sitio web. El ransomware
tiene la capacidad de bloquear la pantalla de una
computadora o cifrar archivos importantes
predeterminados con una contraseña; El
ransomware trabaja generalmente encriptando los
datos de la computadora con una clave desconocida
para el usuario. Algunas otras versiones de ransomware pueden aprovechar
vulnerabilidades específicas del sistema para bloquearlo. El ransomware se
esparce por un archivo descargado o alguna vulnerabilidad de software.

Hemos entrado en la era del worm ransomware, donde ya no es necesario un
error humano para activar este peligroso malware. Los siguientes son unos
consejos prácticos para prevenir el ransomware:

o HACER UNA COPIA DE SEGURIDAD Es algo que se debería hacer
siempre que se pueda, ya sea de manera manual o, incluso,
automatizándolo gracias a algunas herramientas que se tienen a
disposición Gracias a ello, se puede evitar la pérdida de material y datos
sensibles en caso de robo del dispositivo electrónico o problemas técnicos.
o EDUCAR A LOS USUARIOS A RECONOCER LAS AMANAZAS llevar el
cuidado al hacer clic en enlaces sospechosos Los conceptos básicos de
saber de dónde provienen los archivos, por qué el trabajador los recibe y si
puede confiar en el remitente.
o LIMITAR EL ACCESO la organización se tiene que asegurar de que los
usuarios solo tengan acceso a la información y los recursos necesarios
para ejecutar sus trabajos. «Al tomar este paso, se reduce
significativamente la posibilidad de que un ataque de ransomware se
mueva lateralmente a través de su red.
o ACTUALIZAR LOS SISTEMAS OPERATIVOS Y EL ANTIVIRUS Otra de
las recomendaciones más fuertes es tener actualizados los sistemas
operativos y los antivirus. Desde el punto de vista de la ciberseguridad,
siempre es beneficioso mantener los antivirus Mantener el antivirus
actualizado pueden proteger a la organización contra los malware
actualizados.
o SISTEMAS MULTICAPA, Por último, otra de las recomendaciones de los
expertos es utilizar sistemas de seguridad multicapa con tecnologías
avanzadas de prevención de amenazas. «La implementación de un
sistema de varias capas para la seguridad es la mejor forma de defenderse
del ransomware y del daño que podría causar

Apuntes de: Diego Coronado
Tomada de: Curso de Introduction To Cybersecurity de Cisco Networking Academy
8

 Scareware: este tipo de malware está diseñado para PERSUADIR AL USUARIO
DE REALIZAR ACCIONES ESPECÍFICAS EN
FUNCIÓN DEL TEMOR. El scareware FALSIFICA
VENTANAS EMERGENTES QUE SE ASEMEJAN A
LAS VENTANAS DE DIÁLOGO DEL SISTEMA
OPERATIVO. Estas ventanas muestran mensajes
falsificados que indican que el sistema está en riesgo
o necesita la ejecución de un programa específico
para volver al funcionamiento normal. En realidad, no
se evaluó ni detectó ningún problema y, si el usuario
acepta y autoriza la ejecución del programa mencionado, el sistema se infecta con
malware. Consejos para evitar el scareware:
o Tener el antivirus activado siempre; si por error haces clic en estos anuncios,
los antivirus lo detectan inmediatamente para evitar este tipo de conflictos.
o No pagar nunca por nada ni facilitar tu información oculta; muchas de estas
ventanas te piden que llenes tu información personal (como la información
de tarjeta de crédito)
o Buscar solución de terceros.

 Rootkit: Código malintencionado EJECUTABLE QUE SE ADJUNTA A
PROGRAMAS LEGITIMOS. Este malware está diseñado para MODIFICAR EL
SISTEMA OPERATIVO A FIN DE CREAR UNA
PUERTA TRASERA. Los atacantes luego utilizan
la puerta trasera para acceder a la computadora
de forma remota, La mayoría de los rootkits
aprovecha las vulnerabilidades de software para
realizar el escalamiento de privilegios y modificar
los archivos del sistema. También es común que
los rootkits modifiquen las herramientas forenses
de supervisión del sistema, por lo que es muy difícil detectarlos. A menudo, una
computadora infectada por un rootkit debe limpiarse y reinstalarse. Los rootkits
pueden MODIFICAR LOS PRIVILEGIOS DE USUARIO LOS ARCHIIVOS DEL
SISTEMA, LA INFORMATICA FORENSE DEL SISTEMA, Y LAS
HERRAMIENTAS DE SUPERVISION por lo que son extremadamente difíciles de
detectar y eliminar (como ya lo he mencionado anteriormente). Consejos para
evitar el Rootkit:
o Hoy en dia hay varias apliccaciones y herramientas para detectar el rootkit,
una de estas aplicaciones es el sophos anti-Rootkit.
o Sistema operativo actualizado.
o Antivirus instalado y actualizado.

Apuntes de: Diego Coronado
Tomada de: Curso de Introduction To Cybersecurity de Cisco Networking Academy
9

 Virus: UN VIRUS ES UN CÓDIGO EJECUTABLE MALINTENCIONADO QUE SE
ADJUNTA A OTROS ARCHIVOS EJECUTABLES, GENERALMENTE
PROGRAMAS LEGÍTIMOS. LA MAYORÍA DE LOS VIRUS REQUIERE LA
ACTIVACIÓN DEL USUARIO FINAL Y
PUEDE ACTIVARSE EN UNA FECHA
O UN MOMENTO ESPECÍFICO . Los
virus pueden ser inofensivos y
simplemente mostrar una imagen o
pueden ser destructivos, como los que
modifican o borran datos. Los virus
también pueden programarse para
mutar a fin de evitar la detección. La
mayoría de los virus ahora se esparcen por unidades USB, discos ópticos,
recursos de red compartidos o correo electrónico.

 Troyano: UN TROYANO ES MALWARE QUE EJECUTA OPERACIONES
MALICIOSAS BAJO LA APARIENCIA DE
UNA OPERACIÓN DESEADA. ESTE
CÓDIGO MALICIOSO ATACA LOS
PRIVILEGIOS DE USUARIO QUE LO
EJECUTAN. A menudo, los troyanos SE
ENCUENTRAN EN ARCHIVOS DE
IMAGEN, ARCHIVOS DE AUDIO O
JUEGOS. Un troyano se diferencia de un
virus en que se adjunta a archivos no
ejecutables. Consejos para evitar los troyanos:

o Tener el sistema operativo actualizado.
o Tener el antivirus actualizado e instalado.
o Evitar las descargas en páginas de dudosa reputación.
o Analizar todos los archivos descargados a través de

 Gusanos: los gusanos son códigos maliciosos
que se replican mediante la explotación
independiente de las VULNERABILIDADES EN
LAS REDES. Los gusanos, POR LO GENERAL,
RALENTIZAN LAS REDES. Mientras que un virus
requiere la ejecución de un programa del host, los
gusanos pueden ejecutarse por sí mismos. A
excepción de la infección inicial, ya no requieren la participación del usuario. Una
vez infectado el host, el gusano puede propagarse rápidamente por la red. LOS
GUSANOS COMPARTEN PATRONES SIMILARES . TODOS TIENEN UNA
VULNERABILIDAD DE ACTIVACIÓN, UNA MANERA DE PROPAGARSE Y
CONTIENEN UNA CARGA ÚTIL.

Los gusanos son responsables de algunos de los ataques más devastadores en
Internet. Como se muestra en esta figura 1, en 2001 el gusano Código Rojo infectó

Apuntes de: Diego Coronado
Tomada de: Curso de Introduction To Cybersecurity de Cisco Networking Academy
10

658 servidores. En el plazo de 19 horas, el gusano infectó más de 300 000
servidores, como se muestra en la Figura 2. Consejos para evitar los gusanos:
o Tener un buen antivirus instalado, el cual actualizaremos periódicamente.
o descargar las actualizaciones de parches de seguridad del sistema
operativo
o descargar las actualizaciones de parches de seguridad del sistema
operativo
o Jamás hacer clic en enlaces recibidos en un mensaje no solicitado, ya que
pueden estar ligados a un archivo que, sin pedir permiso, se transfiere
automáticamente a la computadora.
o No responder jamás mensajes no solicitados.


 Hombre en el medio (MitM): el MitM permite que el atacante TOME EL
CONTROL DE UN DISPOSITIVO SIN EL CONOCIMIENTO DEL USUARIO . Con
ese nivel de acceso, el atacante puede interceptar
y capturar información sobre el usuario antes de
retransmitirla a su destino. Los ataques MitM se
usan ampliamente PARA ROBAR INFORMAC IÓN
FINANCIERA. Existen muchas técnicas y malware
para proporcionar capacidades de MitM a los
atacantes.

 Hombre en el móvil (MitMo): una variación del hombre en el medio, el MitMo es
un tipo de ataque utilizado PARA TOMAR EL CONTROL DE UN DISPOSITIVO
MÓVIL. Cuando está infectado, puede
ordenarse al dispositivo móvil QUE EX
FILTRE INFORMACIÓN CONFIDENCIAL
DEL USUARIO Y LA ENVÍE A LOS
ATACANTES. ZeuS, un ejemplo de ataque
con capacidades de MitMo, permite que los
atacantes CAPTUREN SILENCIOSAMENTE
SMS DE VERIFICACIÓN DE 2 PASOS
ENVIADOS A LOS USUARIOS.
Figura 1 Figura 2

Apuntes de: Diego Coronado
Tomada de: Curso de Introduction To Cybersecurity de Cisco Networking Academy
11


SINTOMAS DEL MALWARE
Independientemente del tipo de malware con el que se ha infectado un sistema, estos
son síntomas frecuentes de malware:
 Aumento del uso de la CPU.
 Disminución de la velocidad de la computadora.
 La computadora se congela o falla con frecuencia
 Hay una disminución en la velocidad de navegación web.
 Existen problemas inexplicables con las conexiones de red
 Se modifican los archivos
 Se eliminan archivos
 Hay una presencia de archivos, programas e iconos de escritorio desconocidos
 Se ejecutan procesos desconocidos.
 Los programas se cierran o reconfiguran solos.
 Se envían correos electrónicos sin el conocimiento o el consentimiento del usuario.
METODOS DE INFILTRACION
INGIENIERIA SOCIAL
La ingeniería social es un ataque de acceso
que intenta manipular a las personas para que
realicen acciones o divulguen información
confidencial.
Los ingenieros sociales con frecuencia
dependen de la disposición de las personas
para ayudar, pero también se aprovechan de
sus vulnerabilidades.
Por ejemplo, un atacante puede llamar a un
empleado autorizado con un problema urgente
que requiere acceso inmediato a la red. El
atacante puede atraer la vanidad o la codicia
del empleado o invocar la autoridad mediante
técnicas de nombres.
Aplicaciones p2p: Las aplicaciones P2P (peer to peer) son programas que permiten el
intercambio de archivos entre internautas. En otras palabras, es una red de ordenadores
en la que todos o algunos aspectos funcionan sin clientes ni servidores fijos, sino una
serie de nodos que se comportan como iguales entre sí.

Apuntes de: Diego Coronado
Tomada de: Curso de Introduction To Cybersecurity de Cisco Networking Academy
12

algunos de los tipos de ataques de ingeniería social son: Ataques locales y ataques
remotos.:




























Pretexto: esto es cuando UN ATACANTE LLAMA A UNA PERSONA Y MIENTE EN
EL INTENTO DE OBTENER ACCESO A DATOS PRIVILEGIADOS. Un ejemplo
implica a un atacante que pretende necesitar datos personales o financieros para confirmar
la identidad del objetivo.
Seguimiento: esto es cuando un atacante PERSIGUE RÁPIDAMENTE A UNA
PERSONA AUTORIZADA A UN LUGAR SEGURO.
Algo por algo (squid pro quo): esto es cuando un atacante SOLICITA INFORMACIÓN
PERSONAL DE UNA PARTE A CAMBIO DE ALGO, POR EJEMPLO, UN
OBSEQUIO.
Pretexting / impersonate: estas técnicas van unidas y pueden usarse tanto en ataques
locales como en ataques remotos. Un ejemplo puede ser cuando el atacante se hace pasar
por un empleado de soporte técnico de la empresa y presenta algún tipo de excusa o
pretexto (pretexting) como alertar a la víctima de un comportamiento inadecuado en su
equipo el cual requiere intervención, así podrá dar instrucciones específicas que
terminarán en la instalación de algún tipo de malware, concretando así su objetivo (tomar
el control del equipo, obtener datos sensibles, etc)
Falla en controles físicos de seguridad: Quiza uno de los ataques mas usados ya que
existen muchas empresas con fallas en sus controles físicos. supongamos que en la
recepción se encuentra un guardia de seguridad o recepcionista. Esta persona solicita
nombre, apellido, número de documento y el área a la cual se quiere dirigir “la visita”,
pero este guardia o recepcionista no solicita el documento físico ni tampoco llama al
empleado que está siendo “visitado”. Este tipo de ataque es muy efectivo para realizar
Baiting (explicado más abajo), ya que si el control falla desde el inicio es muy probable
que se pueda llegar hasta las oficinas de interés para el atacante.
Dumpster Diving: ¡Es difícil de creer, pero una de las técnicas más usadas es revisar la
basura! Ya que muchas veces (y pasa seguido) se arrojan papeles con información
sensible sin haberlos destruidos previamente. Hablamos de usuarios y contraseñas que
fueron anotadas, números de cuentas, mails impresos, etc. También se suelen encontrar
distintos medios de almacenamiento sin su debida destrucción, como CDs, discos duros,
etc.
Shoulder Surfing: esta es una técnica muy utilizada por los Ingenieros Sociales (y por
los curiosos también) espiar por encima del hombro de las personas. En algunos casos se
hace para poder observar lo que está tecleando la víctima y así poder dilucidar su
password, PIN o patrones de desbloqueos en teléfonos.
Distraccion: Es utilizada para llevar la atención de la víctima a algo irrelevante mientras
el atacante puede obtener todo lo contrario (información valiosa). Gracias a esto el
atacante puede, por ejemplo, sacar una foto de la pantalla o papeles con datos
importantes, robar un Token, pendrive o algún otro dispositivo de almacenamiento.
Baiting: es una técnica muy efectiva. Generalmente se utilizan pendrives con software
malicioso, los que dejan en el escritorio de la víctima o en el camino que la misma realice
(por ejemplo, en el estacionamiento, ascensor, etc.). Para asegurarse del éxito en la
explotación, estudiar a la víctima previamente, detectando así la vulnerabilidad a ser
explotada.

ATAQUES LOCALES

Apuntes de: Diego Coronado
Tomada de: Curso de Introduction To Cybersecurity de Cisco Networking Academy
13























DECODIFICACION DE CONTRASEÑAS WI-FI
La decodificación de contraseñas Wi-Fi es el proceso de detección de la contraseña
utilizada para proteger la red inalámbrica.
 Estas son algunas técnicas utilizadas en la decodificación de contraseñas:
 Ingeniería social: el atacante manipula a una persona que conoce la contraseña
para que se la proporcione.
 Ataques por fuerza bruta: El atacante prueba diversas contraseñas posibles en
el intento de adivinar la contraseña.
Si la contraseña es numero de 4 dígitos, el atacante deberá probar cada una de
las 10.000 combinaciones. Los ataques por fuerza bruta normalmente involucran
un archivo de lista de palabras; este es un archivo de texto que contiene una lista
Phising esta técnica busca “pescar” víctimas. Para ello se utiliza el envío de correos
electrónicos conteniendo adjuntos con malware o links a páginas falsas (home banking,
tarjeta de crédito, etc.) con el objetivo de tomar control del equipo de la víctima o
buscando establecer una relación con la mismas (jugando con sus sentimientos). Un
ejemplo muy usado es cuando el atacante se presenta como una anciana que posee una
enfermedad mortal y tiene un dinero (generalmente son sumas millonarias) que quiere
donar para beneficencia. Al estar sola y no tener familiares, eligió a la víctima por su
“buen perfil” en Internet, proponiéndole transferir el dinero a su cuenta, dejándole un
porcentaje siempre y cuando se cumpla la condición que el resto del dinero sea donado
con fines solidarios. El objetivo final de este tipo de Phishing generalmente es hacerse de
documentos o pasaportes válidos para seguir cometiendo fraudes con los mismos (piden a
la víctima que envíe distintos datos personales y una fotocopia del documento para
“verificar” su identidad). Además, hay una suma pequeña de dinero (para no levantar
sospechas) que la víctima tendrá que transferir al atacante en concepto de gastos de
escribano, sellados, etc. Esta técnica se convierte aún más peligrosa y efectiva cuando es
apuntada a un objetivo específico, como un empleado que tiene acceso a diferentes
sistemas dentro de su empresa. En este caso se la conoce como Spear Phishing, ya que
más que pescar sería cazar con un arpón
Redes sociales: esta técnica tiene dos grandes objetivos, obtener información de la
víctima por una lado y generar una relación con la misma por otro. Existen muchas
personas “fanáticas” de las redes sociales, las cuales dan a conocer su vida minuto a
minuto, en este caso este tipo de persona es “Oro en Polvo” para los atacantes ya que si la
misma es el objetivo se podrá obtener muchísima información que será de gran utilidad.
Muchas veces se piensa que esto es solo a nivel personal y no está relacionado con el
trabajo pero muy lejos de la realidad está ese pensamiento ya que quizás esta misma
persona (víctima) cumple al pie de la letra las políticas de seguridad de su empresa, pero a
nivel personal usa las redes sociales sin concientizarse de la brecha de seguridad que está
generando si un atacante lo elige como objetivo.
Telefonicos: Kevin Mitnick fue uno de los famosos Phreakers (Hackers Telefónicos), ya
que como vimos anteriormente solo con el solo uso de un teléfono logro hacer cosas
increíbles. Este tipo de ataque es muy efectivo y utilizado en conjunto con las técnicas de
“Pretexting” e “Impersonate” que vimos al principio, siendo mucho más cómodo y seguro
para el Ingeniero Social usar un teléfono a contraparte de estar en forma presencial
delante de su víctima.
ATAQUES
REMOTOS

Apuntes de: Diego Coronado
Tomada de: Curso de Introduction To Cybersecurity de Cisco Networking Academy
14

de palabras tomadas del diccionario un programa luego prueba cada palabra y las
comunicaciones comunes. Debido a que los ataques por fuerza bruta llevan
tiempo las contraseñas complejas llevan mucho más tiempo para descifrar,
algunas herramientas para forzar las contraseñas incluyen Ophcrack, L0phtCrack,
THC Hydra, RainbowCrack y Medusa.
 Monitoreo de red: Mediante la escucha y la captura de paquetes enviados por la
red, un atacante puede descubrir la contraseña (si la contraseña se envía sin cifrar
(en texto plano)); si la contraseña está cifrada el atacante aún puede revelarla
mediante una herramienta de decodificación de contraseñas.
APROVECHAMIENTO DE VULNEBALIDADES
Otro método común de es de aprovechamiento de vulnerabilidades es de
INFILTRACION. El cual consiste en que los atacantes ANALIZAN LAS COMPUTADORAS
PARA OBTENER INFORMACIÓN
El siguiente será un método común de aprovechamiento de vulnerabilidades:
1. En este primer paso el atacante RECOPILA INFORMACIÓN SOBRE EL SISTEMA
DE DESTINO
a. Hay muchas maneras de hacer esto una de ellas es a través de la
ingeniería social.
2. Una parte de la información recopilada en el paso 1 puede ser el sistema operativo
su versión.
3. Conociendo el sistema operativo y su versión el atacante se pega de cualquier tipo
de vulnerabilidad conocida para dicha versión de OS.
4. En este paso ya el atacante --conociendo la vulnerabilidad del OS-- el atacante
hace un ataque (de todos los ataques que se han hablado anteriormente) en caso
de que no se haya desarrollado ningún ataque, éste puede considerar desarrollar
uno.
Una de las formas para lograr la infiltración es a través de AMENAZAS PERTINENTES
AVANZADAS (APT).
las APT consisten en hacer una operación avanzada de varias fases a largo plazo
contra un objetivo específico.
Las APT suelen ser muy bien financiadas ya que requiere una habilidad muy avanzada
por parte del atacante.
Las APT tienen relación con el espionaje con base en la red, cuyo propósito es la de
implementar malware en uno o varios sistemas de destino.

Apuntes de: Diego Coronado
Tomada de: Curso de Introduction To Cybersecurity de Cisco Networking Academy
15

DENEGACION DEL SERCICIO

DoS










Este tipo de ataque de red da una INTERRUPCIÓN DE SERVICIO DE RED A LOS
USUARIOS, DISPOSITIVOS, O APLICACIONES.
Este se lleva a cabo GENERANDO UN GRAN FLUJO DE INFORMACIÓN DESDE
VARIOS PUNTOS DE CONEXIÓN HASTA UN MISMO PUNTO DE DESTINO.
Existen dos tipos de ataques de DoS las cuales son CANTIDAD ABRUMADORA DE
TRAFICO; Y PAQUETES MALICIOSOS FORMATEADOS.
 CANTIDAD ABRUMADORA D E TRAFICO: Este ataque pasa al momento de que
SE ENVÍA UNA GRAN CANTIDAD DE DATOS A UNA RED, A UN HOST, O A
UNA APLICACIÓN a una velocidad que es difícil de administrar, lo que ocasiona
una DISMINUCIÓN DE VELOCIDAD DE TRANSMISIÓN O UNA FALLA EN UN
DISPOSITIVO O SERVICIO.

 PAQUETES MALICIOSOS FORMATEADOS: Este ataque pasa al momento de
que SE ENVIA UN PAQUETE MALICIOSO FORMATEADO A UN HOST O A UNA
APLICACIÓN en esta ocasión el receptor no puede controlarlo. Si un atacante por
ejemplo envía paquetes que contienen errores que la aplicación le es difícil de
identificar, o reenvía paquetes incorrectamente formateados el dispositivo del
receptor hace que no se ejecute normalmente sino de manera lenta.
” Riesgo importante”, así se consideran los ataques de DoS ya que interrumpen
fácilmente la comunicación y causan una gran pérdida de tiempo y dinero.
De hecho, un atacante inexperto puede llevar a cabo este ataque debido a su
simplicidad.
DDoS

D=DISK
o=Operating
S=System
Ataques de denegación del
servicio (en español)

Apuntes de: Diego Coronado
Tomada de: Curso de Introduction To Cybersecurity de Cisco Networking Academy
16














A diferencia de DoS, el DDoS proviene de múltiples fuentes coordinadas.
A modo de ejemplo un DDoS podría darse de la siguiente manera:
1. Un atacante crea una red de hosts infectados, denominada botnet (Los hosts infectados se
denominan zombies).
2. Los zombies son controlados por sistemas manipuladores.
3. Las computadoras zombie constantemente analizan e infectan más hosts lo que genera
más zombies.
4. Cuando está listo, el hacker proporciona instrucciones a los sistemas manipuladores para
que los botnet de zombies lleven a cabo un ataque DDoS.
Estos ataques son probablemente los más comunes a la hora de tumbar una página web o un
servicio online.
Millones de peticiones dirigidas a la vez a un servidor lo hacen “estallar”.
 El usuario solo ve que no puede acceder a la página la verdadera batalla se produce por dentro.
Esto que pasa por dentro de un ataque DDoS: ataque DDoS en tiempo real
Cada uno de los pequeños puntos de colores es una petición de acceso al servidor.
Las que son del mismo color pertenecen al mismo host que las envía.
A la derecha, vemos al servidor inundado de peticiones, tratando de servirlas todas (los puntos
que rebotan de vuelta al host)
Los puntos que no recoge la paleta de la derecha y se pierden en la pantalla son el número de
errores 404 que ven los usuarios que no pueden acceder.
 Un DDoS es tal cual, un bombardeo masivo de peticiones que acaban por tumbar los
servidores.
D
D
o
S
Denegación de servicio
distribuido (en español)

Apuntes de: Diego Coronado
Tomada de: Curso de Introduction To Cybersecurity de Cisco Networking Academy
17

DDoS es muy utilizado por los atacantes ya que es barato, difícil de detectar y altamente
efectivo.
Son baratos por que pueden proporcionar redes distribuidas de cientos de ordenadores
zombies infectados con gusanos u otro tipo de métodos automáticos.
Los departamentos de Tecnologías de la Información (TI) necesitan estar alerta y dar pasos
preventivos contra los ataques DDoS. La firma analista Gartner afirma que la mitigación de los
ataques DDoS debería ser "una parte estándar de la planificación en la recuperación de desastres y
la continuidad de negocio y debe ser incluido en todos los servicios de Internet cuando el negocio
depende de la disponibilidad de la conectividad a Internet". Para hacer esto efectivo, un negocio
debe ser preventivo, estar preparado y ser fuerte contra los ataques DDoS.
En muchos casos, los ISP pueden ser la primera línea de defensa frente a los DDoS.
 Una organización TI bien preparada debería identificar las partes de la red más propensas a ser
atacadas por DDoS,
Los ataques DDoS son difíciles de detectar ya que a menudo utilizan conexiones normales e
imitan el tráfico autorizado normal
 Como resultado es altamente efectivo ya que normalmente los servidores objetivos confían por
error en el tráfico y, por tanto, facilitan los ataques ejecutando la solicitud que en última instancia
los inunda.
Las organizaciones TI deberían invertir en evaluar e implementar productos y servicios
apropiados. Por ejemplo, algunos firewalls de próxima generación ponen de relieve las
contramedidas de prevención y detección de intrusiones contra ataques DDoS conocidos, que
pueden ser actualizados automáticamente con nuevas firmas.
 los departamentos de TI necesitarán un firewall para analizar en profundidad tanto el tráfico de
entrada como el de salida.
El proveedor de servicios de Internet, (ISP, por la sigla en inglés de Internet service provider) es la
empresa que brinda conexión a Internet a sus clientes. Un ISP conecta a sus usuarios a Internet a
través de diferentes tecnologías como DSL, cablemódem, GSM, dial-up, etc. El módem es la figura
que actúa como intérprete de todos ellos. Lleva las señales procedentes del proveedor de servicio
de internet (ISP) y las transforma en una conexión a internet para que su router Wi-Fi las reenvíe.
ENVENENAMIENTO SEO
Para poder entender bien el concepto de envenenamiento seo, debemos comprender que es
seo.
 SEO: es el posicionamiento natural en los buscadores. Esta es la manera de trabajar a nivel
web.
 Parte del SEO tiene lugar dentro de nuestro sitio web utilizando una optimización de la web a
través de palabras clave de etiquetas de meta-etiquetas etc.; las técnicas SEO se refiere
principalmente al trabajo dentro de nuestras propias páginas web o fuera de ellas.

Apuntes de: Diego Coronado
Tomada de: Curso de Introduction To Cybersecurity de Cisco Networking Academy
18

 Una de las principales ventajas del SEO es que es DURADERO EN EL TIEMPO.
Parte importante del posicionamiento SEO es LA CREACION DEL CONTENIDO, el contenido
siempre va a estar hay.
Otra de las ventajas del SEO es que puedes decidir a qué publico quieres llegar; a través del SEO
nos va a ver cualquier persona que use una palabra clave en el buscador de preferencia.
 Aunque muchas empresas legítimas se especializan en la optimización de sitios web para
mejorar su posición, un usuario malintencionado puede utilizar la SEO para hacer que un sitio web
malicioso aparezca más arriba en los resultados de la búsqueda. Esta técnica se denomina
envenenamiento SEO
ATAQUES COMBINADOS
¿QUE ES UN ATAQUE COMBINADO?
Estos ataques usan diversas técnicas para llegar al objetivo, a través de estas técnicas los
atacantes pueden combinar malware con gusanos, troyanos, spyware, spam, y esquemas de
suplantación de identidad.
Comúnmente estos ataques llegan como mensaje a la bandeja de correo no deseado.
otros de los ataques combinados utilizan DDoS combinado con correos electrónicos de
suplantación e identidad (denominados como phishing).
 Primero, el ataque DDoS se utiliza para suspender un sitio web popular de un banco y enviar
correos electrónicos a sus clientes disculpándose por la inconveniencia. El correo electrónico
además re direcciona a los usuarios a un sitio de emergencia falso donde la información real de
inicio de sesión puede ser robada.
Hoy en día no hay medidas de seguridad 100% eficientes en las empresas, las siguientes son
algunas de las muchas técnicas que una empresa debe adaptar a la hora de identificar una
violación de seguridad:
 COMUNICAR EL PROBLEMA, informar internamente a los empleados de la empresa. E
informar externamente a los clientes a través de comunicación directa y anuncios
oficiales.
 SER SINCERO Y ASUMIR LA RESPONSABILIDAD en caso de que la empresa tenga la culpa.
 PROPORCIONAR TODOS LOS DETALLES y explicar porque ocurrió el problema y que se vio
afectado
 COMPRENDER QUÉ CAUSO Y FACILITÓ LA VIOLACION DE SEGURIDAD, si hay que contratar
expertos en informática forense para investigar y conocer los detalles.
 APLICAR LO APRENDIDO DE LA INVESTIGACION DE LA INFORMATICA FORENCE para
garantizar que no se produzcan violaciones de seguridad en el futuro.
 AEGURARSE DE QUE TODOS LOS SISTEMAS ESTEN LIMPIOS, QUE SE HAYAN INSTALADO
PUERTAS TRASERAS Y QUE NO HAYA NADA MAS COMPROMETIDO
 CAPACITAR A LOS EMPLEADOS, LOS PARTNERS Y A LOS CLIENTES ACERCA DE COMO
PREVENIR ESTE TIPO DE VIOLACIONES.