Seguridad Informática

Presentación del Curso

Doc. Fidel Garcia
Unidad 1:
La Seguridad Informática
Logro de la Unidad:

Al finalizar la unidad, el estudiante conoce los

fundamentos de la seguridad informática.

Datos/Observaciones
Unidad 1:
La Seguridad Informática
Semana 2:
Amenazas de seguridad en redes modernas

• Metodologías de ataque
• Protección de la información

Datos/Observaciones
Amenazas de seguridad en redes
modernas
Semana 2 – Sesión 2
Logro de la Sesión:

Al culminar la sesión el alumno es capaz de

identificar, acceder, prevenir, atacar y proteger una
red moderna

Datos/Observaciones
Metodologías de Ataque

▪ Existen diferentes tipos de ataques que no son virus,

gusanos y troyanos.
▪ Para mitigar estos ataques, es conveniente tener estos
agrupados en diferentes categorías.
▪ El método utilizado en este curso los clasifica en tres
categorías principales:
–Ataques de Reconocimiento
–Ataques de Acceso
–Ataques de Denegación de Servicio

Datos/Observaciones
Ataque de Reconocimiento
▪ Packet Sniffer:
–Es un tipo de software que normalmente utiliza una tarjeta de
adaptador de red en modo promiscuo para capturar todos los
paquetes de red que se envían a través de una LAN.

▪ Ping Sweep
–El barrido de pings, es una técnica usada en la red para
determinar el rango de direcciones IP de hosts activos.

▪ Port Scanning
–Escaneo de puertos es una exploración de un rango de números
de puerto TCP o UDP en un host para detectar los servicios
activos, determina las posibles vulnerabilidades, e identifica
sistemas operativos.

Datos/Observaciones
Ataque de Reconocimiento

▪ Los ataques de reconocimiento son ataques que se encargan de

obtener toda la información posible de un rango de maquinas.
▪ Los ataques de reconocimiento usan varias herramientas para tener
acceso a la red:
–Packet sniffers
–Ping sweeps
–Port scans
–Internet information queries

Datos/Observaciones
Ataque de Reconocimiento

Datos/Observaciones
Ataques de Reconocimiento
▪ Mitigación de Ataques de Reconocimiento
–Implementar autenticación para asegurar un acceso
correcto.
–Utilizar encriptación para hacer que los programas de
capturas de
paquetes sean inservibles.
–Utilizar herramientas anti-sniffing para detectar ataques
de
capturas de paquetes.
–Implementar una infraestructura conmutada.
–Utilizar firewalls e IPS

Datos/Observaciones
Ataque de Acceso
▪ Los hackers utilizan ataques de acceso en las redes o
sistemas por tres razones: recuperar datos, tener acceso
y escalar privilegios de acceso.
▪ Los ataques de contraseña pueden ser implementados
utilizando los métodos de fuerza bruta, Troyanos, o
rastreadores de paquetes (sniffers).
▪ Los ataques de desbordamiento de búfer escriben datos
más allá de la memoria búfer asignado para sobrescribir
datos válidos o la explotación de los sistemas para
ejecutar código malicioso.

Datos/Observaciones
Ataque de Acceso
▪ Existen 5 tipos de Ataques de Acceso:
–Password attack: Un atacante intenta adivinar las contraseñas
del sistema.
–Trust exploitation: Un atacante utiliza los privilegios concedidos a
un sistema en una forma no autorizada, que posiblemente lleve a
comprometer el objetivo.
–Port Redirection: Un sistema comprometido es usado como un
punto de partida para ataques contra otros objetivos.
–Man-in-the-middle attack: Un atacante se coloca en el centro de
comunicaciones entre dos entidades legales con el fin de leer o
modificar los datos que pasan entre las dos partes.
–Buffer overflow: Un programa escribe datos más allá de la
memoria búfer asignado. Desbordamientos de búfer suelen surgir
como consecuencia de un error en un programa en C o C++
Datos/Observaciones
Ataque de Acceso

Datos/Observaciones
 Ataque de Acceso
Man-in-the-Middle Mitigation
▪ Man-in-the-middle attacks can be effectively mitigated only
through the use of cryptography (encryption).

A man-in-the-middle attack
can only see cipher text

IPSec tunnel
Host A Host B

Router A ISP Router B

CCNA rev5 © 2007 Cisco Systems, Inc. All rights reserved. Cisco Public 13
 Ataque de Acceso
▪ Mitigación de Ataques de Acceso
–Fuerte Seguridad de Contraseñas
–Criptografía
–Aplicación de Parches en Sistemas Operativos y Aplicaciones

CCNA rev5 © 2007 Cisco Systems, Inc. All rights reserved. Cisco Public 14
Denegación de Servicio DoS
▪ Un ataque DoS es un ataque de red que da lugar a algún
tipo de interrupción del servicio a los usuarios,
dispositivos o aplicaciones.
▪ Tratan de poner en peligro la disponibilidad de una red,
host, o la aplicación.
▪ Algunos ejemplos son los ataques smurf y los ataques
con ping de la muerte.
▪ Smurf Attack es el envío de un gran número de peticiones
ICMP a direcciones broadcast dirigida de una dirección de
origen falso en la misma red.
▪ Spoofing Attacks son ataques donde un dispositivo intenta
posar como otro al falsificar datos.
Datos/Observaciones
DoS Attacks

Datos/Observaciones
Denegación de Servicio DoS
▪ Un ataque DoS es un ataque de red que da lugar a algún
tipo de interrupción del servicio a los usuarios,
dispositivos o aplicaciones.
▪ Tratan de poner en peligro la disponibilidad de una red,
host, o la aplicación.
▪ Algunos ejemplos son los ataques smurf y los ataques
con ping de la muerte.
▪ Smurf Attack es el envío de un gran número de peticiones
ICMP a direcciones broadcast dirigida de una dirección de
origen falso en la misma red.
▪ Spoofing Attacks son ataques donde un dispositivo intenta
posar como otro al falsificar datos.
Datos/Observaciones
Denegación de Servicio DoS
▪ Mitigación de Ataques de DoS
–IPS y Firewalls (Cisco ASAs y ISRs)
–Tecnologias de Antispoofing
–Calidad de Servicio – limitación de
tráfico

Datos/Observaciones
 10 Best Practices
1. Keep patches up to date by installing them weekly or daily, if
possible, to prevent buffer overflow and privilege escalation
attacks.
2. Shut down unnecessary services and ports.
3. Use strong passwords and change them often.
4. Control physical access to systems.
5. Avoid unnecessary web page inputs.
–Some websites allow users to enter usernames and passwords.
–A hacker can enter more than just a username.
–For example, entering "jdoe; rm -rf /" might allow an attacker to
remove the root file system from a UNIX server.
–Programmers should limit input characters and not accept invalid
characters such as | ; < > as input.
Datos/Observaciones
10 Best Practices
6. Perform backups and test the backed up files on a regular
basis.
7. Educate employees about the risks of social engineering, and
develop strategies to validate identities over the phone, via
email, or in person.
–http://www.networkworld.com/news/2010/091610-social-
networks.html?source=NWWNLE_nlt_daily_pm_2010-09-16
–http://searchsecurity.techtarget.com/news/1519804/Phishing-attacks-
target-users-of-Facebook-other-social-
networks?asrc=EM_NLN_12420860&track=NL-102&ad=784799&
8. Encrypt and password-protect sensitive data.
9. Implement security hardware and software such as firewalls,
IPSs, virtual private network (VPN) devices, anti-virus software,
and content filtering.
10. Develop a written security policy for the company.
Datos/Observaciones
Medidas de protección
• Los ciberdelincuentes son expertos que engañan a las
personas para que descarguen software malicioso
que les puede dar acceso a información personal y
contraseñas.
• No uses una llave maestra para tu hogar, auto,
ordenador y oficina. Una única contraseña no
debería brindar acceso universal a tus
comunicaciones, finanzas e información de salud.
• No uses algo que sea fácil de adivinar como
"contraseña" o "123456". Increíblemente, esas aún
están entre las contraseñas más comunes.
Datos/Observaciones
Medidas de protección
• Actualiza tu software
• Cambia periódicamente tus contraseñas
• No uses redes wifi públicas
• Evita guardar información importante en la nube
• Mantén la autenticación el todas tus cuentas
• No abras correos que no conoces
• HTTPS no es totalmente seguro, revisa las paginas
que visitas

Datos/Observaciones
Metodologías de ataque

Advanced Persistent Threats – Amenazas

persistentes avanzadas

Como el nombre “avanzado” lo sugiere, una amenaza

avanzada persistente (APT) utiliza técnicas de hackeo
continuas, clandestinas y avanzadas para acceder a un
sistema y permanecer allí durante un tiempo prolongado,
con consecuencias potencialmente destructivas.

Objetivos: grandes corporaciones/países

Datos/Observaciones
Metodologías de ataque

Botnets o redes zombies

Botnet es un término que hace referencia a un conjunto o

red de robots informáticos o bots, que se ejecutan de
manera autónoma y automática. ​ El artífice de la botnet
puede controlar todos los ordenadores/servidores
infectados de forma remota.

Objetivo: Spam/robo de bitcoins/DDoS (Ataques de

denegación de servicio distribuidos)
Datos/Observaciones
Metodologías de ataque

DoS – Distributed Denial of Service – Denegación de

servicio distribuído

Causa que un servicio o recurso sea inaccesible a los

usuarios legítimos.

Objetivo: inhabilitar el uso de un sistema, una aplicación

o una máquina, con el fin de bloquear el servicio para el
que está destinado.

Datos/Observaciones
Metodologías de ataque

Malware

Software malicioso

Objetivo: Dañar un sistema de forma intencional sin que

el usuario lo sepa.

Entre ellos están virus, gusanos, troyanos, keyloggers,

botnets, spyware, adware, ransomware y sacareware.

Datos/Observaciones
Metodologías de ataque

Ataques Web

Acto intencional por parte de un usuario malicioso con el

fin aprovecharse de una vulnerabilidad en el diseño o
desarrollo de una aplicación.

Los más comunes son: fraude directo, robo de

información, phishing, ataques DDoS, Clickjacking, Cross
Site Scripting (XSS),falsificación de solicitudes entre
sitios/CSRF o XSRF, LFI, RFI, Inyección SQL y
redirección de URL.
Datos/Observaciones
Metodologías de ataque

Hijacking

Cualquier técnica ilegal que lleve consigo el adueñarse o

robar algo por parte de un atacante. Es un concepto muy
abierto, que se puede aplicar a varios ámbitos; así se
encuentra el robo de información, el secuestro de una
conexiones de red, de sesiones de terminal, servicios,
módems, etc.
Ejemplos a continuación:

Datos/Observaciones
Metodologías de ataque

Hijacking

IP hijackers: secuestro de una conexión TCP/IP. Por

ejemplo durante una sesión Telnet permitiendo a un
atacante inyectar comandos o realizar un DoS durante
dicha sesión.

Datos/Observaciones
Metodologías de ataque

Page hijacking: secuestro de una página web. Hace

referencia a las modificaciones que se realizan sobre el
sitio web, normalmente haciendo uso de algún bug de
seguridad del servidor o de programación de la página.

También es conocido como defacement o desfiguración.

Datos/Observaciones
Metodologías de ataque

Reverse domain hijacking o Domain hijacking:

secuestro de dominio.

Session hijacking: Secuestro de sesión

Datos/Observaciones
Metodologías de ataque

Browser hijacking: ("Secuestro del navegador" en

español). se denomina así a la apropiación que realizan
algunos spyware sobre el buscador, lanzando popups,
modificando la página de inicio o de búsqueda
predeterminada, etcétera. El término "secuestro" hace
referencia a que estas modificaciones se hacen sin el
permiso ni el conocimiento del usuario. Algunos de estos
spyware son fáciles de borrar del sistema operativo,
mientras que otros son extremadamente complicados de
eliminar y revertir sus cambios.
Datos/Observaciones
Metodologías de ataque

Home page browser hijacking: secuestro de la página

de inicio del navegador. Esto sucede cuando la página de
inicio en la que navegamos es cambiada por otra a
interés del secuestrador. Generalmente son sitios en los
que se invita al usuario a usar los servicios del navegador
para que nuestro equipo esté seguro y funcione
correctamente, pero no se menciona que es a cambio de
un pago y que el origen del error y mal funcionamiento
del equipo es debido a nuestro secuestrador.

Datos/Observaciones
Metodologías de ataque

Modem hijacking: secuestro del módem. Esta expresión

es varias veces utilizada para referirse a la estafa de los
famosos dialers (antes del auge del ADSL) y que
configuran sin permiso del usuario nuevas conexiones a
números de cobro extraordinario.

Datos/Observaciones
Metodologías de ataque

Thread hijacking: secuestro de un "tema" dentro de un

foro de discusión de internet. Este término hace
referencia a lo que ocurre cuando dentro del asunto a
discutir, alguien intenta dirigir el hilo de la conversación
hacia cuestiones que no tienen nada que ver con el tema
inicial. Esto puede realizarse de manera intencionada
para irritar al autor del tema, o bien producirse de manera
no intencionada, generalmente por usuarios sin mucho
conocimiento en el asunto a tratar o que desconocen la
dinámica de comportamiento de los foros.
Datos/Observaciones
Metodologías de ataque

DNS POISING

El envenenamiento de caché DNS​ o envenenamiento de

DNS es una situación creada de manera maliciosa o no
deseada que provee datos de un servidor de nombres
de dominio que no se origina de fuentes autoritativas
DNS.

Datos/Observaciones
Metodologías de ataque

SPOOFING

La suplantación​​ de identidad, en términos de seguridad

de redes, hace referencia al uso de técnicas a través de
las cuales un atacante, generalmente con usos
maliciosos o de investigación, se hace pasar por una
entidad distinta a través de la falsificación de los datos en
una comunicación.

Datos/Observaciones