Conceptos de Seguridad en Redes, Informática Forense y Gestión de la Seguridad

Informática

Seguridad en Redes:

Pentesting o Penetration Testing es la práctica de atacar diversos entornos con la intención

de descubrir fallos, vulnerabilidades u otros fallos de seguridad, para así poder prevenir
ataques externos hacia esos equipos o sistemas. Existen 3 tipos de pruebas de penetración:
Caja Negra: Se proporciona poca o ninguna información sobre el objetivo de evaluación por
adelantado. Es más frecuente en pruebas de penetración a redes. Caja Blanca: Son
realizadas generalmente por un equipo interno, pero ahora es más frecuente asignarlo a un
equipo externo. El equipo de prueba usualmente es parte del equipo de QA, y como tal se
convierte en una parte del ciclo de vida para el desarrollo del software. Se tiene acceso al
código fuente para revisarlo y reportar las vulnerabilidades encontradas. Caja Gris: Es el tipo
de prueba más común. Requiere realizar más trabajo para obtener información necesaria. Es
crítica la comunicación entre el equipo de pruebas y la empresa en evaluación.

https://openwebinars.net/blog/que-es-el-pentesting/

 Pentesting en redes LAN y WLAN, IDS, IPS

Un test de penetración sobre estas redes nos permitirá el estudio de vulnerabilidades y

la estimación del riesgo e impacto relacionados a ellas, produciendo un reporte de gran
valor para el cliente.

Toda evaluación de seguridad estructural de red se construye sobre las etapas:

Exploración: sondeo de la red para establecer hosts activos, sus puertos abiertos y
aquellos servicios expuestos. ŸValoración de la vulnerabilidad: investigar potenciales
entradas al sistema.ŸExplotación: comprometer un host mediante el uso de una
vulnerabilidad o mal configuración; yŸPost Explotación: recolección de certificados y
avance sobre la red hasta tener el control deseado.

Deberemos definir el alcance de la prueba: por un lado tenemos la evaluación externa,

que se realiza fuera del perímetro de red del cliente, enfocándose en servicios expuestos
a Internet entre un rango de direcciones IP definidas por él.

Por otro lado, la evaluación interna permite diagnosticar la red dentro del entorno del
cliente, con una conexión directa a la intranet o DMZ.

https://www.welivesecurity.com/la-es/2014/05/20/network-pentesting-protegiendo-redes-
informacion/

 Análisis de Botnets

Una botnet, o mejor dicho, una red de bots (también conocida como ejército zombi) es
una red constituida por un gran número de equipos informáticos que han sido
"secuestrados" por malware, de forma que quedan a disposición de un hacker. Al tomar el
control de cientos o miles de equipos, las botnets se suelen utilizar para enviar spam o
virus, para robar información personal o para realizar ataques de denegación de servicio
distribuido (DDoS). A día de hoy, se consideran una de las mayores amenazas en
Internet.

Para que su equipo forme parte de una botnet, primero es necesario que se infecte con
algún tipo de malware que se comunica con un servidor remoto o con otros equipos
infectados de la red. De esta forma, recibe instrucciones de quien controla la botnet,
normalmente hackers y ciberdelincuentes. A pesar de su gran alcance y envergadura, la
infección de malware botnet no es diferente de una infección normal.

https://www.avast.com/es-es/c-botnet

La detección de bots dentro de una red es realizada generalmente mediante un análisis

conductual de los nodos. Encontramos enfoques de la detección basados en firmas, en
host, en la red, en anomalías, en DNS, y en Análisis de datos.

Basados en firmas: Este método permite identificar el malware mediante sus

características o su firma. Las firmas pueden ser basadas en host o basadas en la red.
Las firmas basadas en host se pueden describir examinando el comportamiento interno,
mientras que en las basadas en la red se examina el comportamiento externo. Este
método posee un índice bajo de falsos positivos, pero todas las máquinas deberán tener
una lista actualizada de firmas a medida que se descubren nuevas amenazas.
Desafortunadamente, este tipo de detección no es efectiva en contra de amenazas
desconocidas.

Basadas en host: La detección basada en host que utiliza firmas trata de detectar el
malware presente en un host observando y analizando el estado interno del host, es
decir, sus recursos y su comportamiento. Una característica distintiva podría ser un patrón
o una serie de instrucciones en código máquina que son conocidas por ser maliciosas.
Otro tipo de características podría ser la dirección IP a la que el malware intenta
conectarse. También se podrían detectar características particulares del tipo de ataque
identificando el momento más activo del malware. Es posible detectar malware de dos
formas: mediante la realización de una función de hash4 sobre los binarios o al obtener el
hash de los archivos del sistema, lo que permite saber si estos fueron modificados y
mantener su integridad. Los siguientes comportamientos, entre otros, pueden ser
identificados como firmas: intentos de modificar el registro, elevar permisos, recursos del
sistema asociados, entre otros.

Basadas en la red: En la detección basada en la red, el comportamiento de la red es

caracterizado como la firma. Se analizan varios aspectos de la red incluidas las
direcciones IP a las que se establecen comunicaciones, puertos, servicios y protocolos
utilizados como: TCP, UDP, HTTP, etc. Un patrón de tráfico entre maquinas también
 puede ser caracterizado como una firma. Entre las características que constituyen el
patrón encontramos la secuencia, frecuencia, longitud y contenido de los mensajes. La
comunicación entre los bots y el botmaster tendrá diferentes firmas que la comunicación
entre un bot y una víctima.

Basadas en anomalías: La detección basada en anomalías trata de detectar la presencia

de una Botnet mediante el análisis de las anomalías presentes en el tráfico de la red
como: alta latencia de red, alto volumen de tráfico, tráfico presente en puertos no
utilizados, y comportamiento inusual en hosts que podrían indicar la presencia de bots en
la red. Esta técnica se basa en encontrar anomalías en la red, que pueden ser tanto de un
host como de la red en si. La desventaja de este enfoque es la cantidad de tiempo y
esfuerzo necesario para capturar y analizar los datos y para detectar un comportamiento
anormal.

Basadas en DNS: La necesidad de un bot de localizar los recursos constituye una ventaja
para la detección basada en DNS. Si se trata de una arquitectura centralizada de Botnet,
el bot deberá contactar al botmaster para obtener instrucciones. El objetivo es monitorear
el trafico DNS para obtener, si es posible, la dirección IP del botmaster. La desventaja de
esta técnica está en que no funciona en todo tipo de Botnets y la dirección IP del
botmaster puede cambiar frecuentemente.

Análisis de datos: Esta técnica es la más abarcadora de todas. La actividad de los hosts
en una red es monitoreada y registrada. Se examinan todos los archivos de registro
disponibles, relacionando los registros con posibles eventos, como un incremento notorio
en el tráfico de la red, para obtener más información. Este trabajo va a estar enfocado al
monitoreo y análisis de datos como técnica de detección.

Análisis de botnets y ataques de denegación de servicio, Gastón Bezzi, UN Nacional de

La Plata, agosto de 2016

 Protocolos seguros basados a IPV6

IPv6 fue diseñado para ser más seguro que IPv4, por ejemplo, IPsec está integrado de
forma nativa en IPv6 para autenticar y cifrar los paquetes de datos.

La fragmentación de paquetes en IPv6funciona de diferente manera que en IPv4, ya que

no permite la fragmentación/reensamblado en routers intermedios, sólo se permite en
los host finales por lo que los ataques de fragmentación de paquetes ya no servirían de
mucho como hasta ahora.

https://www.redeszone.net/2011/10/06/seguridad-en-ipv6-lo-que-debes-saber/

IPSec es un estándar que proporciona servicios de seguridad a la capa IP y a todos los

protocolos superiores basados en IP (TCP y UDP, entre otros).
 Dentro de IPSec se distinguen dos protocolos de seguridad: IP Authentication Header
(AH) e IP Encapsulating Security Payload (ESP) que proporcionan mecanismos de
seguridad para proteger tráfico IP.

El protocolo AH es el procedimiento previsto dentro de IPSec para garantizar la integridad

y autenticación de los datagramas IP. Esto es, proporciona un medio al receptor de los
paquetes IP para autenticar el origen de los datos y para verificar que dichos datos no
han sido alterados en tránsito. Sin embargo no proporciona ninguna garantía de
confidencialidad, es decir, los datos transmitidos pueden ser vistos por terceros. Tal como
indica su nombre, AH es una cabecera de autenticación que se inserta entre la cabecera
IP estándar (tanto IPv4 como IPv6) y los datos transportados, que pueden ser un mensaje
TCP, UDP o ICMP, o incluso un datagrama IP complete.

El objetivo principal del protocolo ESP (Encapsulating Security Payload) es proporcionar

confidencialidad, para ello especifica el modo de cifrar los datos que se desean enviar y
cómo este contenido cifrado se incluye en un datagrama IP. Adicionalmente, puede
ofrecer los servicios de integridad y autenticación del origen de los datos incorporando un
mecanismo similar al de AH. Dado que ESP proporciona más funciones que AH, el
formato de la cabecera es más complejo; este formato consta de una cabecera y una cola
que rodean los datos transportados. Dichos datos pueden ser cualquier protocolo IP (por
ejemplo, TCP, UDP o ICMP, o incluso un paquete IP completo)

IPSec también cuenta con un protocolo de gestión de claves Internet Key Exchange (IKE)
que permite a dos nodos negociar las claves y todos los parámetros necesarios para
establecer una conexión AH o ESP.

El objetivo principal de IKE consiste en establecer una conexión cifrada y autenticada

entre dos entidades, a través de la cual se negocian los parámetros necesarios para
establecer una asociación de seguridad IPSec. Dicha negociación se lleva a cabo en dos
fases: La fase común a cualquier aplicación, en la que ambos nodos establecen un canal
seguro y autenticado. En la segunda fase el canal seguro IKE es usado para negociar los
parámetros de seguridad específicos asociados a un protocolo determinado, en nuestro
caso IPSec.

Análisis del protocolo IPSec: el estándar de seguridad en IP, Santiago Pérez Iglesias
Telefónica Investigación y Desarrollo, Nov. 2001

 Pentesting páginas web

Las Aplicaciones Web son de los objetivos más buscados para explotarlos, esto debido a
su amplia utilización y el alto valor de los datos accedidos, el cual incrementa su valor
como objetivo de ataque.

Para realizar pruebas de penetración satisfactorias contra aplicaciones web se necesita

tener mucho conocimiento sobre las tecnologías web. Una buena Prueba de Penetración
 debe seguir una metodología aprobada, conocer las herramientas y contar con el permiso
para realizar el Pentesting.

Con una adecuada prueba de penetración se logra detectar, Fallas de Fuga de

Información: Permite al atacante descubrir información sobre la configuración y el estado
de la aplicación. La cual puede ser utilizada para lanzar ataques más dañinos. Fallas de
Configuración: Temas de configuración con el servidor web o el sistema operativo puede
permitir al atacante explotar el sistema sin importar cuán segura sea el diseño de la
aplicación web. Fallas de Bypass: Permite al atacante esquivar controles. Puede permitir
al atacante ganar más acceso dentro de la aplicación o permitirle acceder y modificar
archivos sobre el servidor. Fallas de Inyección: Son muy comunes como los bien
conocidos ataques de Inyección SQL y Cross Site Scripting (XSS). Implica demasiada
confianza en el cliente, y aceptar entradas con filtros inadecuados.

Pruebas de Penetración contra Aplicaciones Web: Alonso Eduardo Caballero Quezada:

www.ReYDes.com

 Pentesting Bases de datos.

Todo administrador de red y webmaster tiene como prioridad proteger los datos alojados
en una red o servidor; realizando pruebas de penetración permite asegurar de una mejor
manera las bases de datos.

Aplicando las metodologías expuestas de en las líneas anteriores sobre el Pentasting y

con el uso de herramientas apropiadas podemos testear muchos motores de bases de
datos y explorar muchas características especificas de la seguridad de una base de
datos. SQLmap es una herramienta de prueba de penetración de código abierto que
automatiza el proceso de detección y explotación de fallas de inyección de SQL y se hace
cargo de los servidores de bases de datos. Viene con un poderoso motor de detección,
muchas características de nicho para el último comprobador de penetración y una amplia
gama de conmutadores que duran desde la toma de huellas dactilares hasta la obtención
de datos de la base de datos, el acceso al sistema de archivos subyacente y la ejecución
de comandos en el sistema operativo.

http://sqlmap.org/

Informática Forense:

“Delincuencia informática es todo Acto o conducta ilícita e ilegal que pueda ser considerada
como Criminal, dirigida a alterar, socavar, destruir, o manipular, cualquier sistema informático
o alguna de sus partes componentes, que tenga como finalidad causar una lesión o poner en
peligro un bien jurídico cualquiera”

CASABONA Romeo, Carlos María, Poder informático y Seguridad jurídica, Editorial

Fundesco, 1987
La Informática Forense es la disciplina que se encarga de la adquisición, el análisis y la
valoración de elementos de evidencia digital hallados en ordenadores, soportes de datos e
infraestructuras de red, y que pudieran aportar luz en el esclarecimiento de actividades
ilegales perpetradas en relación con instalaciones de proceso de datos, independientemente
de que dichas instalaciones sean el objetivo de la actividad criminal o medios utilizados para
cometerla.

Introducción A La Informática Forense, Francisco Lázaro Domínguez, 2015

 Aseguramiento evidencia digital y física

Con el elemento identificado se procede a realizar una imagen exacta del contenido
de la evidencia asignando un código único correspondiente a una combinación única
de bytes que constituye la totalidad del medio en observación. Este código de
validación ha de ser lo suficientemente complejo como para evitar vulneraciones en la
información rescatada e impedir que cualquier auditor pueda por su cuenta verificar la
autenticidad de la imagen tomada, es decir, crear un código que solamente personal
calificado y legalmente autorizado pueda manipular para proteger el elemento a ser
analizado; esto con el fin de establecer una cadena de custodia consistente. Desde
este momento ya se pueden efectuar copias exactamente iguales de la imagen a los
efectos de que diferentes actores puedan conservar una copia de seguridad.

 Análisis forense evidencia digital y física

El análisis forense está orientado por un caso en particular y aquí es necesaria la

información que provee quien solicita la investigación forense. En el análisis forense
se pueden buscar: archivos borrados, archivos creados, accedidos o modificados
dentro de determinado rango de fechas, tipos de archivos con un formato particular
que hayan sido alterados, por ejemplo archivos de un sistema de contabilidad
renombrados como archivos de un procesador de texto, imágenes, mensajes de
correo electrónico, actividad desarrollada en internet, a diferentes niveles palabras
claves tales como un número telefónico, el nombre de una ciudad o una empresa, etc.

En base a este análisis se determina un patrón de comportamiento del usuario en

cuanto a la creación, modificación y borrado de mensajes, actividad de correo
electrónico, etc.

 Cadena de custodia.

En la cadena de custodia se establecen las responsabilidades y controles de cada una

de las personas que manipulen la evidencia. Se debe preparar un documento en el
que se registren los datos personales de todos los implicados en el proceso de
manipulación de las copias, desde que se tomaron hasta su almacenamiento.
 Informática Forense, Modulo Unad, 2013, H. Cabrera

 Implementación CSIRT

Un CSIRT es un equipo de expertos en seguridad de las TI cuya principal tarea es

responder a los incidentes de seguridad informática. El CSIRT presta los servicios
necesarios para ocuparse de estos incidentes y ayuda a los clientes del grupo al que
atienden a recuperarse después de sufrir uno de ellos. Para mitigar los riesgos y
minimizar el número de respuestas necesarias, la mayor parte de los CSIRT ofrecen
también a sus clientes servicios preventivos y educativos. Publican avisos sobre las
vulnerabilidades del software y el hardware en uso e informan a los usuarios sobre los
programas maliciosos y virus que se aprovechan de estas deficiencias. De este modo,
los clientes atendidos pueden corregir y actualizar rápidamente sus sistemas.

Cómo Crear un Csirt Paso a Paso, Enisa, 2006

Gestión de la Seguridad Informática:

Uno de los principales activos que poseen las empresas es la información que manejan. Un
correcto tratamiento de la información requiere la adopción de las medidas que sean
necesarias para proteger los tres aspectos básicos de la misma: integridad, confidencialidad
y disponibilidad. Un Sistema de Gestión de la Seguridad de la Información o SGSI sería, por
tanto, un conjunto de medidas destinadas a preservar estos tres elementos de la información
que maneja una empresa, independientemente del soporte, tipo, etc., de la misma. Para que
estas medidas sean efectivas, deben llevarse a cabo a través de procesos estandarizados,
documentados, conocidos y aplicados por toda la empresa. Para sistematizar estos
procesos, existe un conjunto de normas conocidas como ISO 27000, encaminadas a la
gestión de la seguridad.

Contenido de un SGSI Las medidas que integran el SGSI deben estar recogidas en una serie
de documentos que, según ISO 27001, están estructurados en los siguientes niveles.

– Nivel 1: este determina las normas fundamentales del sistema, que están recogidas en el
manual de seguridad. Este documento expone los objetivos, políticas, directrices, etc., del
SGSI.

– Nivel 2: en este nivel se encuentran los documentos de procedimientos. Son los

documentos de carácter operativo, que definen la planificación, realización y control de los
procesos que integran el sistema.

– Nivel 3: los documentos de este nivel son las instrucciones, checklists y formularios. En
ellos se describe la forma de realizar las tareas y las actividades relacionadas con la
seguridad de la información.

– Nivel 4: está integrado por los registros, que son documentos que demuestran que se ha
cumplido lo indicado en los otros tres niveles.
Uno de los aspectos más destacados del ISO 27000 es la descripción del proceso de
implantación de un SGSI. Básicamente se resume en un proceso cíclico continuo que pasa
por las fases Plan-Do-Check-Act y vuelta a empezar.

– Arranque o inicio del proyecto: en esta fase es necesario un compromiso por parte de la
dirección de la empresa u organización, la realización de una buena planificación, así como
la asignación de los responsables del proyecto.

– Planificación (Plan). En esta fase se deberían concretar aspectos como: la definición del
alcance del SGSI, la política y los objetivos en materia de seguridad, la metodología y
enfoque a utilizar para la evaluación de riesgos, el inventario de activos, la identificación de
puntos débiles, la identificación de impactos, etc.

– Realización (Do). En esta fase se definiría e implantaría el plan de tratamiento de riesgos,

se implementarían elementos de control, tareas de formación y concienciación al personal y
se operaría ya con el SGSI.

– Revisión (Check). Posteriormente a la fase de realización, se hace necesario revisar el

proceso con el fin de medir la eficacia de los controles y revisar otros riesgos. Se realizan
auditorías internas del SGSI, así como un registro de las distintas acciones y eventos.

– Actuación (Act). En esta fase se implantarían mejoras y se adoptarían medidas correctoras

y preventivas, con el fin de comprobar la eficacia de las acciones realizadas.

Conceptos sobre seguridad informática, Ema Gascó/Rosa Romero /David Ramada/Ramón

Onrubia, MacMillan Profesional/2013