Seguridad de la Información

Seguridad de la Información es la protección de la información disponible o de los

recursos de información de acceso no autorizado, ataque, robo o daños a los datos.

• Las personas y organizaciones responsables deben proteger los datos

confidenciales.
• Los datos de todos los formularios deben estar protegidos.
• Esto minimiza los riesgos empresariales y otras consecuencias de la pérdida de
datos cruciales.

Objetivos de la Seguridad de Información

Objetivos de la Seguridad de Descripción

Información
Prevención Varios tipos de información necesitan
protección.
Si lo hace, puede disminuir las pérdidas
derivadas de una brecha de seguridad.
La prevención del acceso no autorizado a
la información es prioritaria.
Detección Descubrir intentos de acceder a datos no
autorizados, o esa información se ha
perdido.
Investigar individuos o escanear datos y
redes en busca de rastros del Intruso.
Recuperación Los desastres e intrusiones pueden
causar datos comprometidos o dañados.
Necesita un proceso para recuperar
datos de sistemas o dispositivos
bloqueados.
También puede recuperar recursos
físicos perdidos o robados.

Riesgos

Riesgo es un concepto que indica la exposición a la posibilidad de daño o pérdida, y

significa la probabilidad de un peligro o amenaza peligrosa.

• El riesgo de TI se asocia con pérdidas físicas, de energía, de red y del sistema.

o También puede afectar a las personas, las prácticas y los procesos.
• Los datos de todos los formularios deben estar protegidos.
 • Las organizaciones deben tener en cuenta el riesgo cuando la seguridad de la
información diseñado e implementado.

Vulnerabilidades

Vulnerabilidades son cualquier condición que deje un dispositivo abierto para dañar.

Amenazas

Amenazas son cualquier evento o acción que pueda causar daños a un activo.

Ataques

Ataques son una técnica utilizada para explotar una vulnerabilidad en una aplicación
o sistema informático sin la autorización para hacerlo.

The CIA Triad

Los tres principios de control y gestión de la seguridad: confidencialidad,

integridad y disponibilidad.

Principio Descripción
 Confidencialidad Mantener la información y las
comunicaciones privadas y protegidas de
acceso no autorizado.
• Incluye secretos comerciales y
militares, personal, salud y
registros fiscales.
• Controlado mediante cifrado,
control de acceso y esteganografía.
Integridad Mantener la información de la
organización precisa, libre de errores y
libre de modificaciones no autorizadas.
• Incluye modificación de los
puntajes de las pruebas u otra
información almacenada en
servidores de red.
• Controlado mediante hash, firmas
digitales, certificados y cambios de
control.
Disponibilidad Garantizar que los sistemas informáticos
funcionen de forma continua y que
personas autorizadas pueden acceder a
los datos que necesitan.
• Incluye garantizar que los datos
vitales, como las imágenes de
radar, sean capturados y
distribuidos a los aeropuertos.
• Controlado mediante
redundancia, tolerancia a errores
y parches.

No repudio (Non-Repudiation)

No Repudio: Asegurar que la parte que envió una transmisión o los datos creados
permanecen asociados con los datos y no pueden denegar el envío o crear los datos.

Responsabilidad (Accountability): Determinar a quién responsabilizar de una

actividad o evento.

Identificación

Identificación el proceso por el cual se hace una reclamación sobre la naturaleza de

una entidad en particular.
 • Las organizaciones tienden a invertir más en sistemas de identificación cuando
necesitan un alto grado de seguridad o protección.
• La identificación suele asociar recursos (como direcciones de correo electrónico
o con contraseñas, y puede incluir información de identificación adicional.

AAA (Authentication – Authorization - Accounting)

Autenticación

Autenticación es un método para validar las credenciales únicas de una entidad

o individuo.

• ¿Tiene una persona las credenciales correctas para acceder al sistema?

• Mantenga las credenciales en secreto para evitar el acceso no autorizado
a la confidencialidad información.

Autorización

Autorización es cuando un usuario tiene acceso a ciertos datos o áreas de un

edificio.

La autorización se realiza después de la autenticación y se puede determinar de

varias maneras, incluyendo permisos, listas de control de acceso, hora del día
restricciones, y otros inicios de sesión y restricciones.

Contabilidad

Contabilidad es el seguimiento de datos, el uso del equipo y los recursos de red.

A menudo significa registrar, auditar y monitorear los datos y recursos.

La contabilidad se está volviendo rápidamente más importante en las redes de

hoy. Parte de este concepto es la carga de la prueba. Tú como la seguridad
persona debe proporcionar pruebas si usted cree que alguien cometió una
acción no autorizado. Cuando tienes prueba indiscutible de algo que los
usuarios han hecho y no pueden negarlo, se conoce como no repudio.
Analizando el Riesgo
 Analizar el riesgo organizacional
 Analizar el impacto empresarial del riesgo

Manejo de Riesgos
Es el proceso de identificar riesgos, analizarlos, desarrollar una estrategia de respuesta para ellos y
mitigar su impacto futuro.

 Ayuda a prevenir o disminuir los efectos de los incidentes de seguridad.

 Consta de cuatro fases:

Identificar y evaluar los riesgos que existen en un sistema. Analizar el impacto potencial que los riesgos
tendrán en un sistema. Formular una estrategia sobre cómo responder a los riesgos. Mitigar el impacto
de los riesgos para la seguridad futura.

Componentes del análisis de riesgos

 Determinar las vulnerabilidades que puede aprovechar una amenaza.
 Determinar la posibilidad de que se produzcan daños.
 Determinar el alcance del daño potencial.
Fases del análisis de Riesgos
Análisis de riesgo: El proceso utilizado para evaluar los daños por riesgo que pueden afectar a una
organización.

1. Asset ID: identificación del asset.

2. Vulnerability ID: identificación de la vulnerabilidad.
3. Threat Assessment: se evalua la amenaza.
4. Probability Quantification: Se cuantifica en probabilidad la amenaza.
5. Impact Analysis: Se analiza el impacto que pueda tener la amenaza
6. Countermeasure Determination: se determina una acción para tratar con la amenaza.

Categorías de los tipos de amenaza

 Natural: relacionados con el clima u otros eventos incontrolables que son sucesos residuales de
las actividades de la naturaleza.
 Hecha por el hombre: incidencias residuales de la actividad humana individual o colectiva.
Puede ser intencional o no intencional.
 Sistema: relacionado con cualquier debilidad o vulnerabilidad encontrada en una red, servicio,
aplicación o dispositivo.

Métodos de Análisis de Riesgo

 Cualitativo: utiliza descripciones y palabras para medir la cantidad y el impacto del riesgo, como
alto, medio y bajo. También suele estar basado en escenarios. Y puede ser subjetivo y difícil de
probar.
 Cuantitativo: basado únicamente en valores numéricos. Los datos de riesgo se comparan con
registros históricos, experiencias, mejores prácticas de la industria, teorías estadísticas y
pruebas.
 Semi-cuantitativo: usa descripciones y valores numéricos. Intenta encontrar un término medio
entre el análisis de riesgos cualitativo y cuantitativo.

Cálculo de Riesgo
 SLE: la pérdida financiera esperada de un solo evento adverso (expectativa de pérdida
individual).
 ALE: El costo anual total de un riesgo para una organización (Expectativa de pérdida anual).
 ARO: El número de veces al año que se espera que ocurra una pérdida particular (tasa de
ocurrencia anual).
 El cálculo del riesgo depende tanto de los costos de las pérdidas como de los costos de
mitigación.
 Las tablas de vulnerabilidad pueden ayudar a documentar los factores de cálculo de riesgo
Ejemplos de cálculo de riesgo
Técnicas de Respuesta a los riesgos
 Aceptar: Reconocimiento del riesgo y las consecuencias que conlleva. Aceptar no significa dejar
un sistema completamente vulnerable, es reconocer que el riesgo involucrado no es
completamente evitable o que el costo de mitigación o evitación es prohibitivo.
 Transferencia: Asignar la responsabilidad del riesgo a otra agencia, o a un tercero, como una
compañía de seguros.
 Evitar: eliminar el riesgo por completo eliminando la causa.
 Mitigar: acciones para protegerse de posibles ataques. Se implementa cuando el impacto de un
riesgo potencial es sustancial. Defensas activas (IDS) o medidas de precaución (copia de
seguridad de datos en riesgo).

Mitigación de Riesgos y Tipos de Control

Controles técnicos: Instalaciones de hardware o software que se implementan para monitorear y
prevenir amenazas y ataques a sistemas y servicios informáticos.

Controles de gestión: procedimientos que se implementan para monitorear el cumplimiento de las

políticas de seguridad de la organización.

Controles operativos: medidas de seguridad que se implementan para salvaguardar todos los aspectos
de las operaciones, funciones y actividades del día a día.

Controles de pérdidas / daños: medidas de seguridad que se implementan para evitar que los activos
clave se dañen.

Gestión del Cambio

Una forma sistemática de aprobar y ejecutar cambios para asegurar la máxima seguridad, estabilidad y
disponibilidad de los servicios de tecnología de la información.

 Los cambios en el hardware, el software, la infraestructura y la documentación pueden tener un

efecto dominó en la seguridad de una organización.
 Cuantificar los costos de capacitación, soporte, mantenimiento e implementación.
 Analizar los beneficios y las complejidades de cada cambio.
  El nuevo paquete de servicio corrige varias vulnerabilidades de seguridad para un servidor de
producción.
 El servidor aloja una aplicación personalizada que debe permanecer disponible
 La política de gestión de cambios requiere la aprobación del formulario para todos los paquetes
de servicio. El nuevo Service Pack debe probarse en un servidor de laboratorio antes de la
implementación. Los resultados de la prueba indican que el Service Pack bloquea la aplicación
personalizada. La aplicación personalizada se debe revisar y volver a probar antes de
implementar el Service Pack en el servidor de producción.

Pautas para analizar el riesgo

 definir claramente las expectativas organizacionales para la seguridad
 Identifique los activos que requieran protección y determine sus valores.
 Busque posibles vulnerabilidades que puedan afectar negativamente los objetivos de seguridad
de la organización.
 Determinar posibles amenazas a los activos.
 Determine la probabilidad de que las amenazas aprovechen las vulnerabilidades.
 Determine el impacto de la amenaza.
 Identificar el método de análisis de riesgos óptimo.
 Identifica posibles contramedidas.
 Documente claramente todos los hallazgos y decisiones.

BIA
Una actividad sistemática que identifica los riesgos organizacionales y determina su impacto en las
operaciones y procesos críticos para el negocio en curso. Algunas características son:

 Evaluaciones y valoraciones de vulnerabilidad.

 Determine los riesgos y sus efectos.
 Cubre todos los aspectos de una empresa.
 Puede ser parte de un plan de continuidad comercial (BCP).
Escenarios de Impacto
Vida Desastres naturales y ataques intencionales
provocados por el hombre.
 eventos climáticos severos
 Eventos sísmicos
 Incendio premeditado y otros incendios
 Ataque terrorista
Propiedad Desastres naturales y ataques intencionales
provocados por el hombre.
 eventos climáticos severos
 Eventos sísmicos
 Incendio premeditado y otros incendios
 Ataque terrorista
 Robos
 Daño al equipo
Seguridad Desastres naturales, ataques intencionales
provocados por el hombre, y riesgos
involuntarios provocados por el hombre
 eventos climáticos severos
 Eventos sísmicos
 Incendio premeditado y otros incendios
 Ataque terrorista
 Enfermedades o epidemias excesivas de
los empleados
Finanzas Desastres naturales, ataques intencionales
provocados por el hombre, riesgos involuntarios
provocados por el hombre, y riesgos del sistema.
 eventos climáticos severos
 Eventos sísmicos
 Incendio premeditado y otros incendios
 Ataque terrorista
 Enfermedades o epidemias excesivas de
los empleados
 Destrucción de archivos
 Divulgación de información (intencional o
inadvertida)
 Error de usuario
 Redes sociales y computación en la nube
 Dispositivos móviles y de red no seguros
 Entornos de virtualización inestables
 Vulnerabilidades de administración de
cuentas y correo electrónico
Reputación Riesgos provocados por el hombre, y riesgos del
sistema.
  Tiempo de respuesta para la restauración
de servicios interrumpidos o archivos
dañados
 Divulgación de información frecuente
 Percepción de problemas recurrentes
 Percepción de susceptibilidad
Respuesta organizacional a los riesgos
 Aumento de precios durante desastres
naturales
 Tiempo de respuesta para abordar la
divulgación de información

Evaluaciones de privacidad
Evaluación de impacto sobre la privacidad (PIA): herramienta para identificar y analizar los riesgos a la
privacidad durante el ciclo de vida de un programa o sistema.

Evaluación del umbral de privacidad (PTA): documento que se utiliza para determinar cuándo se
requiere una PIA.

Información de identificación personal (PII): información que una empresa utiliza para identificar o
ponerse en contacto con empleados y otras personas.

 Obligatorio para cualquier agencia de EE. UU. Que recopile PII en línea.
 Otras regulaciones pueden requerirlos para diferentes organizaciones.

Sistemas Críticos y Funciones

 Esencial para misiones
 Comparación cuantitativa:

o MTD: Maximum tolerable downtime: define la cantidad total de tiempo que se puede
interrumpir un proceso empresarial sin causar consecuencias inaceptables. Este valor
debe ser definido por el equipo de gestión empresarial o alguien como CTO, CIO o gerente
de TI. En otras palabras, es la duración del RTO más el WRT, por lo que por ejemplo si el
RTO fue de 6 horas, y el WRT de 5, el MTD resultante debe ser 11 horas.

o MTTF: Mean time to failure: describe el tiempo esperado hasta la falla de un sistema no
reparable. Por ejemplo, se probaron 3 sistemas idénticos comenzando desde el momento
0 hasta que todos fallaron. El primer sistema falló a las 10 horas, el segundo falló a las 12
horas y el tercero falló a las 13 horas. El MTTF es el promedio de los tres tiempos de falla,
que es 11.6667 horas.

Se diferencia del MTBF en el tipo de activo utilizado en el cálculo. Donde MTTF usa activos
no reparables mientras que MTBF se ocupa de activos que son reparables, cuando se
rompen, se pueden reparar fácilmente sin gastar demasiado.
o MTTR: Mean time to repair/replace: es una métrica de mantenimiento que mide el
tiempo medio necesario para solucionar problemas y reparar el equipo averiado. Refleja
la rapidez con la que una organización puede responder a averías no planificadas y
repararlas.

MTTR calcula el período entre el inicio del incidente y el momento en que el sistema
vuelve a la producción. Esto tiene en cuenta el tiempo para notificar a los técnicos,
diagnosticar el problema, solucionar el problema, dejar que el equipo se enfríe,
reensamblar, alinear y calibrar el activo, configurar, probar y poner en marcha el activo
para la producción, etc.

La fórmula MTTR se calcula dividiendo el tiempo total de mantenimiento no planificado

invertido en un activo por el número total de fallas que ese activo experimentó durante
un período específico. El tiempo medio de reparación se suele representar en horas. El
cálculo del MTTR asume que las tareas se realizan secuencialmente, y que las lleva a cabo
alguien debidamente capacitado.

Por ejemplo, si se han dedicado 50 horas al mantenimiento no planificado de un activo

que se ha averiado ocho veces en el transcurso de un año, el tiempo medio de reparación
sería de 6,25 horas.

o MTBF: Mean time between failures: este tiempo promedio excluye el tiempo dedicado
a la espera de reparación, reparación, recalificación y otros eventos de derribo, como
inspecciones y mantenimiento preventivo, etc. está destinado a medir solo el tiempo que
un sistema está disponible y en funcionamiento. Para calcular el MTBF, se divide la
cantidad total de horas operativas en un período por la cantidad de fallas que ocurrieron
en ese período. El MTBF generalmente se mide en horas.

MTBF = # de horas operativas ÷ # de fallas

Por ejemplo, un activo puede haber estado operativo durante 1000 horas al año. En el
transcurso de ese año, ese activo se descompuso ocho veces. Por lo tanto, el MTBF para
ese equipo es de 125 horas.

o RTO: Recovery time objective: determina la cantidad máxima tolerable de tiempo

necesaria para volver a poner en línea todos los sistemas críticos. Esto cubre, por ejemplo,
la restauración de datos a partir de una copia de seguridad o la reparación de una falla. En
la mayoría de los casos, esta parte la realiza el administrador del sistema, administrador
de red, administrador de almacenamiento, etc.

Por ejemplo, si los sistemas de una compañía cayeron, y el tiempo máximo para volver a
levantarlos es de 4 horas, ese sería el RTO.

o RPO: Recovery point objective: determina la cantidad máxima aceptable de pérdida de

datos medida en el tiempo. Normalmente, los RPO se establecen de acuerdo con la
frecuencia con la que se actualizan los archivos. Esto asegura que después de una
interrupción del servicio, las operaciones restauradas contienen la versión más
actualizada de los datos.
Por ejemplo, los archivos que se actualizan con frecuencia necesitan un RPO breve (no
más de unos minutos). Esto significa que después de un evento disruptivo, las
operaciones se pueden restaurar con una mínima pérdida de datos.

Otro ejemplo, la pérdida de datos máxima tolerable es de 15 minutos, lo que significa que
no pueden permitirse perder más de una hora de datos, como transacciones bancarias,
su sistema CRM y registros de pacientes.
Realización de evaluaciones de seguridad
• Identificar vulnerabilidades
• Evaluar vulnerabilidades
• Implementar pruebas de penetración

Vulnerabilidades del host

• El sistema operativo/plataforma subyacente afecta directamente a las
vulnerabilidades del host.
• La forma en que se configura el sistema operativo/plataforma es crucial.
• OSS vienen con configuraciones predeterminadas.
o Qué servicios se están ejecutando, programas instalados, configuración de
seguridad habilitada, etc.
o Las configuraciones comprenden el estado del host.
o Dejar un host con configuraciones predeterminadas suele ser insuficiente.
• Las configuraciones personalizadas son necesarias.
o Si no se evalúan, pueden dejar debilidades en el host.
o Los atacantes explotarán estas debilidades.
o Ejemplo: Si no se deshabilita Telnet, se puede realizar un ataque de tipo "man-
in-the-middle".

Vulnerabilidades de software
Vulnerabilidades de software
Día cero
Manejo de entrada incorrecta
Manejo de error incorrecto
Agotamiento de recursos
Descripción
• Explotado antes de que la
vulnerabilidad sea conocida
públicamente.
• Los efectos a menudo se magnifican
y son más duraderos.
• El software no puede anticipar
entradas inusuales.
• Puede conducir a acceso no
autorizado, escalada de privilegios,
DOS, etc.
• Los errores detallados pueden
proporcionar a los atacantes
información procesable.
• Los errores que no se manejan
correctamente pueden causar
inestabilidad.
• El software no restringe el acceso a
los recursos.
• El consumo excesivo de recursos
provoca bloqueos.
 Estado de la carrera • Los eventos no se ejecutan en orden
y tiempo previsto.
• El software puede bloquearse.
Vulnerabilidades de Memoria • Pérdida de memoria.
• Desbordamiento de búfer.
• Desbordamiento de enteros.
• Desreferencia del puntero.
• Inyección de DLL.

Vulnerabilidades de memoria
• Falta de memoria.
• Buffer overflows
• Integer overflows
• Pointer deference
• DLL injection

Vulnerabilidades de cifrado
• Algunas soluciones de cifrado son inseguras o se vuelven inseguras con el tiempo.
• Las organizaciones utilizan conjuntos de cifrado ahora considerados débiles.
• La mala implementación también revela debilidades.
• Ejemplo: Certificados digitales configurados incorrectamente.
▪ Las direcciones no coinciden, el certificado ha caducado. firmante no
de confianza, etc.
• La administración incorrecta de claves también conduce a vulnerabilidades.
▪ Las claves privadas no seguras pueden caer en las manos equivocadas.
▪ Los atacantes pueden hacerse pasar por la organización y realizar un
ataque de tipo "man-in-the-middle".

Vulnerabilidades de la arquitectura de red

• El diseño de la red puede revelar debilidades.
• Los atacantes intentan entrar a través de estas debilidades.
o Ejemplo: Servidor web no aislado de bases de datos sin conexión.
▪ El atacante puede pasar del servidor web a las bases de datos.
o Ejemplo: Rango de red inalámbrica no controlado para.
▪ Pérdidas de señal más allá de las instalaciones donde el atacante
puede obtener acceso más fácilmente.
• Los atacantes también intentan iniciar DOS.
o Ejemplo: El tráfico del servidor web no está equilibrado.
▪ Los atacantes congestionan la red con exceso de tráfico, lo que
provoca retrasos y interrupciones del servicio.
Vulnerabilidades de cifrado
• Algunas soluciones de cifrado son inseguras o se vuelven inseguras con el tiempo.
o Las organizaciones utilizan conjuntos de cifrado ahora considerados débiles.
• La mala implementación también revela debilidades.
o Ejemplo: Certificados digitales configurados incorrectamente.
▪ Las direcciones no coinciden, el certificado ha caducado, el firmante
no es de confianza, etc.
o La administración incorrecta de claves también conduce a vulnerabilidades.
▪ Las claves privadas no seguras pueden caer en las manos equivocadas.
▪ Los atacantes pueden hacerse pasar por la organización y realizar un
ataque de tipo "man-in-the-middle".

Vulnerabilidades de la arquitectura de red

▪ El diseño de la red puede revelar debilidades.
▪ Los atacantes intentan entrar a través de estas debilidades.
o Ejemplo: Servidor web no aislado de bases de datos sin conexión.
▪ El atacante puede pasar del servidor web a las bases de datos.
o Ejemplo: Rango de red inalámbrica no controlado para.
▪ Fugas de señal más allá de las instalaciones donde el atacante puede
obtener acceso más fácilmente.
▪ Los atacantes también intentan iniciar DOS.
o Ejemplo: el tráfico del servidor web no está equilibrado.
▪ Los atacantes congestionan la red con exceso de tráfico, lo que
provoca retrasos y interrupciones del servicio.

Vulnerabilidades de la cuenta
▪ Requisitos débiles de complejidad/longitud de contraseña.
▪ Contraseñas que no caducan.
▪ Falta de autenticación multifactor.
▪ Cuentas colocadas en grupos equivocados.
▪ Las cuentas otorgaban más privilegios de los necesarios.
▪ Cuentas no utilizadas que no se han deshabilitado.
▪ Cuentas de invitado que no se han deshabilitado.

Vulnerabilidades de operaciones
▪ Usuarios no entrenados.
o El elemento humano es el objetivo más grande.
o Usuarios no equipados para detectar ingeniería social o practicar buenos
hábitos de seguridad informática.
▪ Falta de planificación para procesos empresariales críticos.
o Sin procesos EOL, los sistemas obsoletos pueden ser vulnerables.
o La falta de soporte técnico del proveedor dificulta la corrección de problemas.
o Los sistemas integrados pueden ser difíciles de entender.
 ▪ Expansión del sistema.
o Difícil para el personal limitado supervisar un gran número de sistemas.
o La incapacidad de administrar estos sistemas puede llevar a un compromiso.
o los activos indocumentados son difíciles de administrar de manera
consistente.

Evaluación de seguridad
Evaluación de la seguridad: el proceso de probar los controles de seguridad para exponer
debilidades o lagunas en sus herramientas, tecnologías, servicios y operaciones.

▪ Proporciona la información necesaria para mitigar las vulnerabilidades de forma

oportuna y eficiente.
▪ Los métodos utilizados varían ampliamente.
o Influye en el tipo de evaluación activa frente a la pasiva.
o Influye en otras características también.

Evaluación de vulnerabilidad: Una evaluación de la seguridad de un sistema basada en el

estado de configuración del sistema.

▪ Determina si la configuración actual coincide con la línea base.

▪ A menudo se logra a través de herramientas automatizadas.
▪ Identifica configuraciones incorrectas, falta de controles de seguridad y otras
vulnerabilidades.

Técnicas de evaluación de seguridad

Técnicas Descripción
Técnica ▪ La línea de base es una colección de
configuraciones para utilizar como
punto de referencia para otros
sistemas de la organización.
▪ La línea de base debe incluir la
seguridad recomendada por la
industria configuraciones y debe
cumplir una función en la
organización.
Revisar la línea de base ▪ Las revisiones de código deben
llevarse a cabo para todas las
aplicaciones en desarrollo.
▪ Se puede hacer manualmente o con
herramientas automatizadas.
Revisar el código ▪ La superficie de ataque es una
combinación de todas las áreas que
están expuestas a un Atacante.
▪ La reducción de la superficie de
ataque reduce el riesgo de ataques
exitosos.
 Determinar un ataque de superficie
Revisar la arquitectura de seguridad
▪ Evaluación del modelo de
infraestructura de seguridad.
▪ Determina si los activos están
protegidos correctamente y las
vulnerabilidades dirigida.
▪ Determina si la solución de
seguridad satisface las necesidades
de la organización.
▪ Hecho antes de implementar la
solución.

Herramientas de evaluación de vulnerabilidades

Tipo de herramienta Implementar TO
Escáner de vulnerabilidades Evalúe los sistemas, las redes y las
aplicaciones en busca de debilidades.
Escáner de puertos Evalúe el estado actual de todos los puertos
de una red.
Analizador de protocolo/paquetes Evalúe el tráfico y lo que revela sobre los
contenidos y protocolos que se utilizan.
Herramientas de huellas dactilares Identifique la información del sistema
operativo de un destino y los servicios en
ejecución.
Enumerador de red Mapear la estructura lógica de la red e
identificar sistemas no fiables.
Galleta de contraseña Recuperar contraseñas secretas de datos
almacenados o transmitidos.
Utilidades de copia de seguridad Cree copias de los datos escaneados.
Honeypot Redirija la actividad sospechosa a sistemas
aislados para una supervisión segura.

Tipos de análisis de vulnerabilidades

▪ Herramientas para escanear puntos débiles en redes inalámbricas.
▪ Herramientas para buscar el cumplimiento de la configuración.
▪ Escaneos acreditados.
o El escáner se autentica con el sistema que está escaneando.
o Tiene privilegios elevados para probar toda la configuración de un sistema.
o Más intrusivo, consume más recursos.
▪ Exámenes no acreditados.
o Analiza desde una perspectiva de usuario normal.
o Le permite centrarse en los defectos más evidentes que cualquiera puede
explotar.
o Menos intrusivo, consume menos recursos.

Directrices para evaluar las vulnerabilidades

▪ Considere cómo se configuran los sistemas operativos host.
▪ No confíe en la configuración predeterminada.
 ▪ Cree configuraciones personalizadas para reflejar las necesidades de seguridad.
▪ Considere el impacto de las vulnerabilidades de día cero.
▪ Considere los defectos de software como el manejo incorrecto de la entrada y la
administración de la memoria.
▪ Considere el impacto del uso de conjuntos de cifrado obsoletos.
▪ Evalúe los certificados digitales para configuraciones incorrectas.
▪ Evalúe los sistemas de gestión de claves de cifrado en busca de debilidades.
▪ Considere el impacto de las debilidades en la arquitectura de red.
▪ Considere el impacto de las cuentas mal configuradas.
▪ Identifique a los usuarios que requieren capacitación.
▪ Identifique los procesos empresariales críticos que carecen de un plan sólido.
▪ Considere el impacto de la expansión del sistema y los activos indocumentados.

Pruebas de penetración
El uso de herramientas y técnicas activas para evaluar la seguridad simulando ataques a esos
sistemas.

▪ Comprueba que existe una amenaza y explota las vulnerabilidades.

▪ Menos comunes y más intrusivos que las evaluaciones de vulnerabilidad.
▪ La información obtenida de las pruebas de pluma es más exhaustiva.
▪ Existe el riesgo de que los sistemas sufran daños reales.
▪ A menudo se aplican restricciones estrictas a las pruebas de pluma.

Técnicas de pruebas de penetración

Fase Técnica Descripción
1 Reconocimiento ▪ Tester recopila tanta
información sobre los
objetivos como sea
posible.
▪ Ayuda a los probadores
a crear su ataque
simulado.
2 Explotación inicial ▪ El probador comienza
la explotación después
del reconocimiento.
▪ Obtenga acceso a la
red o hosts, obtenga
credenciales, etc.
3 Escalación de privilegios ▪ Tester intenta obtener
un mayor control sobre
los sistemas.
▪ Puede hacer más daño
con privilegios más
altos.
4 Pivotante ▪ El probador
compromete a un host
central.
▪ Tester puede
propagarse a otros
hosts y segmentos de
red.
5 Persistencia ▪ Tester mantiene el
acceso a la red.
▪ Evalúe la facilidad de
obtener un punto de
apoyo encubierto en la
red.

Métodos de prueba de caja

Herramientas de prueba de penetración

Tipo de herramienta
Marcos de explotación
Herramientas de desinfección de datos
Herramientas de esteganografía
Herramientas de ingeniería social
Probadores de estrés
Implementar para
Cree e implemente código para explotar
sistemas.
Borre de forma segura los datos de un
medio de almacenamiento.
Ocultar datos dentro de otros datos para
evitar la detección.
Pon a prueba la susceptibilidad de tus
usuarios a las tácticas de ingeniería social.
Pruebe la capacidad de sus sistemas para
responder al aumento de la informática

Directrices para la implementación de pruebas de penetración

▪ Considere la posibilidad de realizar una prueba de penetración además de una
evaluación.
▪ Tenga en cuenta los riesgos involucrados en la realización de una prueba de pluma.
▪ Considere la posibilidad de implementar técnicas de prueba de lápiz como diferentes
fases en un ataque simulado.
 ▪ Considere la posibilidad de realizar pruebas de lápiz con diferentes tipos de métodos
de prueba de caja.
▪ Comprender los diferentes requisitos de reconocimiento para cada método de prueba
de caja.
▪ Familiarícese con las diferentes herramientas utilizadas en la explotación activa de
sistemas.

Uso de NMAP
Nmap es una herramienta opensource utilizada para el escamoso de redes, puertos y las
dependencias de servicios que pueden servir como punto de entrada a los sistemas.

Utilizada comúnmente en auditorias de seguridad y monitoreo de redes.

¿Qué cosas podemos realizar con Nmap?

▪ Identificar Ios dispositivos conectados a la red que queremos estudiar.
▪ Conocer los puertos abiertos, el sistema operativo o aplicaci6n en ejecuci6n y su
versi6n. Todo esto mediante est-ndares de uso de puertos.
▪ Encontrar servicios vulnerables en la red.
Identificación de amenazas a la seguridad

• Identificar tipos de atacantes

• Identificar los ataques de ingeniería social
• Identificar malware
• Identificar amenazas basadas en software
• Identificar amenazas basadas en la red
• Identificar amenazas inalámbricas
• Identificar amenazas físicas

Hackers y atacantes

Hacker/atacante: Individuos que tienen las habilidades para tener acceso a

sistemas informáticos a través de medios no autorizados o no aprobados.

Cracker: Un individuo que rompe los códigos de cifrado, derrota al software, Protecciones de
copia, o se especializa en romper en sistemas.

• Connotaciones diferentes
• Neutral/benigno vs. malicioso
• Diferentes tipos
Hackers y atacantes (Cont.)

Sombrero blanco: Un hacker que descubre y expone los defectos de seguridad en aplicaciones y sistemas
operativos con el consentimiento de una organización para que se pueden arreglar antes de que se
conviertan en problemas generalizados.

Sombrero negro: un hacker que descubre y expone vulnerabilidades de seguridad sin consentimiento

organizativo, con fines de lucro o por algún propósito malicioso

Sombrero gris: Un hacker que expone fallas de seguridad en aplicaciones y sistemas operativos sin
consentimiento, pero no ostensiblemente para propósitos maliciosos.

Actores de Amenazas

Una entidad que es parcial o totalmente responsable de un incidente que afecta o puede afectar la
seguridad de una organización. También se conoce como actor malicioso.

• Guiones de guión
• Hacktivistas
• Crimen organizado
• Estados de la nación
• Insiders
• Competidores

Script kiddie: Un hacker inexperto con conocimientos técnicos limitados que confía en herramientas
automatizadas para hackear.

Hacktivista: Un hacker que obtiene acceso no autorizado y causa disrupción en un sistema informático
para lograr un cambio político o social.

Insider: Empleados presentes y pasados, contratistas, socios y cualquier entidad que tiene acceso a
información o información confidencial y cuyas acciones resultan en una seguridad comprometida.
Atributos de los Actores de Amenazas

Tipo de actor Atributos

Script kiddie Interno o externo? Externo
Nivel de sofisticación: Ejemplos de código simple
y grupos de ataques automatizados
Recursos/fondos: Mínimos
Intención/motivación: Llamar la atención o
demostrar habilidades técnicas
Hacktivista Interno o externo? Externo
Nivel de sofisticación: Varía
Recursos/fondos: Varía
Intención/motivación: Causar cambio político o
social
Crimen organizado Interno o externo? Externo
Nivel de sofisticación: Altamente sofisticado
Recursos/fondos: Ampliamente financiado
Intención/motivación: Beneficio monetario,
mediante ransomware y robo de datos
Estados nacionales Interno o externo? Externo
Nivel de sofisticación: Altamente sofisticado
Recursos/fondos: Ampliamente financiado
Intención/motivación: Agendas políticas,
militares, técnicas o económicas
Insiders Interno o externo? Interno
Nivel de sofisticación: Varía
Recursos/fondos: Varía
Intención/motivación: Venganza, ganancia
monetaria o incluso involuntaria
Competidores Interno o externo? Externo
Nivel de sofisticación: Relativamente alto
Recursos/fondos: Relativamente alto
Intención/motivación: Monetario
Inteligencia de código abierto

Información que se recopila legalmente de los orígenes disponibles públicamente.

Fuentes

• Medios tradicionales
• Redes sociales
• Información pública
• Comunicaciones profesionales y académicas
• Contenido geoespacial
• Web profunda

La clave es la identificación de información relevante y precisa.

Practicado tanto en sectores tanto públicos como privados.

Ingeniería Social

Cualquier actividad en la que el objetivo sea usar engaños y trucos para convencer usuarios desprevenidos
para proporcionar datos confidenciales o para violar directrices de seguridad.

• Puede ser un precursor de otros ataques.

• Los factores humanos pueden dificultar la identificación de los síntomas.
• En persona, a través de correo electrónico y por teléfono.

• El atacante crea un ejecutable para recopilar y almacenar nombres de usuario de red y

contraseñas, y utiliza el correo electrónico para enviar el ejecutable a los usuarios. El correo
electrónico pretende ser de TI, pidiendo a los destinatarios que ejecuten el ejecutable y
proporcionen sus credenciales para resolver un problema de red.
• El atacante llama al Help Desk, fingiendo ser un representante de ventas remoto que necesita la
asistencia para establecer una conexión remota.
• El atacante envía un ejecutable disfrazado de tarjeta electrónica, parche del sistema operativo o
parche de aplicación.
Eficacia

Principio Descripción
Autoridad Haciéndose pasar por una autoridad, como un
gerente o administrador de TI.
Intimidación Amenazar el trabajo o la situación financiera de
alguien.

Consenso Aprovechando la tendencia humana a formar

parte de un grupo.

Escasez Ofrecer algo raro o de valor percibido.

Familiaridad Hacerse pasar por un amigo o un familiar.

Urgencia Fomentar la acción rápida para obtener una
recompensa o evitar problemas.

Suplantación

Un tipo de ingeniería social en la que un atacante pretende ser alguien que no es, por lo general un usuario
promedio en apuros, o un help desk representante.

Phishing y ataques relacionados

Phishing: un tipo de ingeniería social basada en correo electrónico en la que un atacante envía correo
electrónico de una fuente supuestamente de buena reputación, como un banco, para tratar de obtener
información privada de la víctima.
Spear phishing: Una variante de un ataque de phishing donde los atacantes apuntan a un individuo u
organización específica.

Whaling: una forma de phishing con lanza dirigida a individuos u organizaciones que se sabe que son
extremadamente ricas.

Pharming: Un ataque en el que una solicitud de un sitio web (generalmente un e-commerce) se redirige
a un sitio falso que se asemeja al original

Vishing/voice phishing: Un ataque basado en humanos donde el atacante extrae información mientras
habla por teléfono o aprovecha los servicios de mensajería de voz VolP.

Smishing: Un ataque basado en humanos donde el atacante extrae información mediante el uso de
mensajes de texto SMS.

Hoaxes
Un ataque de ingeniería social basado en correo electrónico, basado en mensajería instantánea o
basado en la web destinado a engañar al usuario para que realice acciones no deseadas o innecesarias.

• Amenazas de virus o hacking

• Ofertas gratuitas
• El conocimiento es poder.
Exploits Físicos

Exploit Descripción
Shoulder surfing • Meta: obtener contraseñas o PIN mirando
por encima del hombro de alguien.
• Las cámaras de los teléfonos móviles
pueden hacer que esto sea fácil de lograr
Dumpster diving • Meta: obtener contraseñas y otra
información inspeccionando los
contenedores de basura de un objetivo.
• La papelera de enero contiene los
calendarios del año pasado, que pueden
contener contraseñas u otra información
confidencial.
Tailgating • Meta: acceder a un área segura.
• Seguir a un empleado a través de una
entrada sin su conocimiento.
• Prevenir mediante la implementación de
estrictos controles de acceso físico y la
educación de los usuarios
Piggy Backing • Meta: acceder a un área segura.
• Seguir a un empleado a través de una
entrada con su conocimiento.
• Los atacantes pueden hacerse pasar por
personal de soporte o proveedores y
solicitar que un empleado les abra la
puerta.

Ataques de pozos de riego

Un ataque en el que un atacante apunta a un grupo específico, descubre qué sitios web que agrupan
frecuentes, luego inyecta esos sitios con malware.
Código malicioso

Código malicioso: software no deseado o no autorizado que se coloca en un equipo de destino para
interrumpir las operaciones o para redirigir los recursos del sistema para beneficio del atacante.

Malware: código malintencionado, como virus, troyanos o gusanos, que es para obtener acceso no
autorizado a, hacer uso no autorizado de, o dañar sistemas informáticos y redes.

Rootkit: Software destinado a tomar el control total o parcial de un sistema en los niveles más bajos.

Virus

Una pieza de código malicioso que se propaga desde un ordenador a otro adjuntándose a otros archivos
a través de un proceso de auto replicación.

• La acción humana desencadena la autorreplicación.

Se puede utilizar para:

• Habilitar ataques adicionales.

• Recopilar datos.
• Dañar o destruir datos.
Gusanos

Malware que se propaga de un ordenador a un ordenador sin unirse a sí mismo a diferentes archivos.

• NO es necesario un gatillo humano.

• La función principal es propagarse.
• Puede causar problemas con el ancho de banda de red.
• Si hay una carga útil, es probable que tome el control de la computadora.

Adware

Software que automáticamente muestra o descarga anuncios cuando se utiliza.

• Publicidad no solicitada.
• A menudo implementado como pop-ups del navegador.
• Probabilidad de spyware u otro malware.

Spyware

Malware instalado subrepticiamente que está destinado a rastrear e informar de la uso de un sistema
de destino o recopilar otros datos que el atacante desea obtener.
Datos recopilados:

• Historial del navegador web

• información personal/financiera
• nombres de usuario y contraseñas

Se puede empaquetar con software legítimo.

Caballos Troyanos

Un tipo de malware que se esconde en un sistema infectado y puede causar daño a un sistema o dar a un
atacante una plataforma para el monitoreo y / o control de un sistema.

• No se auto replica.
• No adjunto a otros archivos.
• Contenido malintencionado en un paquete benigno.

Keyloggers

Un dispositivo de hardware o aplicación de software que reconoce y registra cada pulsación de tecla hecha
por un usuario.

• Captura contraseñas y otros datos confidenciales.

• Puede afectar a la seguridad de la autenticación de pulsaciones de teclas.
Troyanos de Acceso Remoto

Un caballo de Troya especializado que específicamente tiene como objetivo proporcionar a un atacante
con acceso no autorizado o control de un equipo de destino.

• Imita el comportamiento de las aplicaciones de control remoto legítimas.

• Puede ocultarse en juegos y otras aplicaciones.
• Descargas y archivos adjuntos de correo electrónico.

Bombas Lógicas

Software que se queda inactivo en un ordenador objetivo hasta que se activa por la aparición de
condiciones específicas, como una fecha y hora específicas.

• Cuando se activa el software, detona la bomba lógica.

• Borra o corrompe los datos del destino.

Botnets

Botnet: Un conjunto de ordenadores que ha sido infectado por un programa de control llamado bot que
permite a los atacantes explotar colectivamente computadoras para montar ataques.

Zombie/Drone: Un ordenador que ha sido infectado con un bot y es siendo utilizado por un atacante para
montar un ataque.

Objetivos del ataque Botnet:

• Coordinación de ataques de denegación de servicio

• Enviar correos electrónicos no deseados
 • Minar para información personal y contraseñas

Es posible que los usuarios no detecten la actividad.

Ramsonware

Ransomware: Software que permite a un atacante tomar el control de un sistema o datos del usuario y
exigir el pago por la devolución de dicho control.

Bitcoin: Un sistema de pago electrónico descentralizado y encriptado que es utilizado por entidades
legítimas y actores de amenazas por igual.

Crypto-malware: Una forma de ransomware que utiliza el cifrado para hacer que los datos de la víctima
sean inaccesibles.

• Atacante coloca ransomware en el ordenador de la víctima.

• El atacante exige un rescate por restablecer el acceso a los datos.
• Sigue siendo una amenaza importante.
• WannaCry

Amenazas persistentes anticipadas

Una amenaza que utiliza múltiples vectores de ataque para obtener acceso no autorizado a recursos
sensibles y luego mantiene ese acceso durante un largo período de tiempo.

• Amenazas repetidas de largo alcance.

• Inducido por malware.
• Dirigido a organizaciones privadas (instituciones financieras o educativas) o a los Estados
nacionales.
• Los APTs cubren sus propias pistas para permanecer sin ser detectados.
Ataques de Software

Cualquier ataque que se dirija a los recursos de software, incluidos los sistemas operativos, aplicaciones,
servicios, protocolos y archivos.

• Interrumpe o deshabilita el software que se ejecuta en el destino.

• Explota el target para obtener acceso a los recursos.
• Obtener control secreto.

Ataques de Contraseña

Cualquier ataque en el que el atacante intente obtener acceso no autorizado y uso de contraseñas.

• Adivinar y agrietarse

Se puede encontrar en los registros de auditoría

• Intentos de inicio de sesión fallidos repetidos y, a continuación, éxito

• Inicios de sesión exitosos en momentos inusuales
Tipos de Ataque de Contraseña
Tipo
Guessing (adivinar)
Stealing (robar)
Ataque de diccionario
Ataque de fuerza bruta
Rainbow table
Contraseña híbrida
Ataque de cumpleaños
Descripción
• Intentos individuales y repetidos de
adivinar una contraseña.
Utilizar diferentes valores de contraseña
comunes:
• Nombre de usuario
• Nombre de la esposa
• Una fecha significativa
• Olfateando las comunicaciones de la red.
• Leer notas de contraseña escritas a mano
• Observar a un usuario en el acto de
ingresar una contraseña (shoulder
sniffing)
• Adivinación automática de contraseñas
• Compara las contraseñas con una lista de
valores posibles
• Palabras y variantes del diccionario:
sustitución de letras, adición de números
• Utilizar un software para descifrar
contraseñas
• Probar todas las combinaciones
alfanuméricas posibles
• Para descifrar contraseñas cifradas
• Utilizar contraseñas de texto sin formato
y sus hashes para descifrar contraseñas
• Generar hashes por adelantado
• Ahorro de tiempo comercial por espacio
en disco
• Comparar el hash de destino con las
entradas de la tabla
• Utilice múltiples métodos de ataque al
intentar descifrar una contraseña
• Ataque de diccionario
• Ataque Rainbow table
• Ataque de fuerza bruta
• Aprovechar las debilidades de los
algoritmos utilizados para generar hashes
• Identificar qué diferentes entradas
producen la misma salida.
Ataques criptográficos

Un ataque de software que explota las debilidades del sistema criptográfico, elementos, como código,
cifrados, protocolos y administración de claves sistemas.

Se utiliza principalmente para descifrar contraseñas cifradas.

Ataques de puerta trasera

Ataque de puerta trasera: Un ataque en el que el atacante utiliza un software cuenta de usuario falsa
para tener acceso a un sistema y sus recursos.

Puerta trasera: un mecanismo para acceder a un ordenador que pasa por alto o subvierte los métodos
de autenticación normales.

Típicamente entregado a través de troyano u otro.

El software de puerta trasera escucha los comandos de un puerto abierto.

El atacante puede enviar comandos e interrumpir el equipo de destino.

Acceso por la puerta trasera no siempre detectado, por lo que puede ser persistente.

Ataque Tahover: Un ataque de software que proporciona acceso remoto y control.

Ataques de aplicación

Ataque de aplicación: un ataque de software que apunta a la web y otras aplicaciones cliente-servidor.

• Amenazar los servidores web y de aplicaciones, los usuarios, los sistemas back-end. y el
software.
• Conducir a infracciones de autenticación, suplantación. divulgación de información, problemas
de código de origen, y otras infracciones.

Código fuente: Instrucciones de software, escritas en un programa legible por el ser humano

lenguaje de programación, que se compilan en el código de la máquina para ser

ejecutado por un ordenador.

Ataque del lado Cliente: un ataque de software que explota la relación de confianza entre un cliente y el
servidor al que se conecta.
Ataque a aplicaciones web: un ataque de aplicación que se centra en aplicaciones que se ejecutan en
navegadores web.

Manipulación del controlador

Manipulación del controlador: un ataque de software en el que el atacante reescribe o reemplaza el

controlador de dispositivo legítimo o la programación de aplicaciones (API) para permitir que se realice
la actividad malintencionada.

Shimming: El proceso de desarrollo e implementación de código adicional entre una aplicación y el

sistema operativo para habilitar la funcionalidad que de otro modo no estaría disponible.

Refactoriza: El proceso de reestructuración del código de aplicación para mejorar su diseño sin afectar el
comportamiento externo de la aplicación. o para que puedan manejar situaciones particulares.

Escalada de privilegios

La práctica de explotar defectos en un sistema operativo u otros para obtener un mayor nivel de acceso
del destinado a la usuario o aplicación.

Escalada vertical (elevación)

• Cuando un usuario o aplicación puede acceder a la funcionalidad o datos que no deben a su

disposición.

Escalada horizontal

• Donde un usuario accede a la funcionalidad o datos que están destinados a otro usuario.

Bases de TCP/IP

• Protocolo de red estándar en uso en todo el mundo.

• Conjunto en capas de múltiples protocolos.
• Permite la comunicación de los hosts de interpolación.
• Direcciones de host y nombres de host.

Apretón de manos de tres vías: el proceso por el cual se

completado entre dos hosts.

Ataques de spoofing

Un ataque basado en la red donde el objetivo es pretender ser otra persona con el propósito de ocultar
la identidad.

• Suplantación de direcciones IP
• Suplantación de direcciones MAC
• Intoxicación/spoofing de ARP
• Intoxicación/spoofing DNS

Suplantación de direcciones IP y MAC

Suplantación de direcciones IP: un ataque de suplantación de identidad en el que el atacante envía IP

paquetes de una dirección de origen falsa para comunicar con objetivos.

Dirección MAC suplantación: ataque de suplantación donde el atacante reconfigura una interfaz de red
para disfrazar la dirección MAC original.

Intoxicación arp

Un ataque basado en red donde un atacante con acceso al objetivo red redirige una dirección IP a la
dirección MAC de un computador que no es el destinatario previsto. Conocido como suplantación de
ARP.

• Capturar. Alterar. y reenviar el tráfico de red al destinatario previsto.

• Cree la denegación de servicio señalando a una dirección MAC inexistente.

Intoxicación por DNS

Un ataque basado en la red en el que un atacante explota la naturaleza abierta de DNS para redirigir un
nombre de dominio a una dirección diferente. También conocido como Spoofing DNS

• Capturar datos de los visitantes de nombres de dominio.

• Servir malware a los visitantes de nombres de dominio.
• Cree la denegación de servicio apuntando a una dirección IP inexistente.
Ataques de escaneo de puertos
Puerto: un punto de conexión de una conexión lógica que los equipos host utilizan para conectarse a
procesos o servicios en otros hosts. ataque de exploración de puertos: un ataque basado en la red
donde un atacante analiza computadoras y otros dispositivos para ver qué puertos están escuchando,
en un intentar encontrar una manera de obtener acceso no autorizado.

• Puertos TCP y UDP analizados.

• Servicios activos escaneados.
• Se puede automatizar.
• Es probable que ocurra, estés al tanto o no.

Tipos de escaneo
Escaneo oculto: un tipo de exploración de puertos que identifica los puertos abiertos sin completar el
apretón de manos de tres vías.

• Atacante envía SYN; destino envía SYN-ACK; atacante restablece la conexión.

• Menos probabilidades de ser registrado

Escaneo de conexión completo: un tipo de exploración de puertos que completa el triple apretón de
manos identifica los puertos abiertos. y recopila información sobre hosts de red por captura de banners.

Banner grabbing: El acto de recopilar información sobre los anfitriones de la red examinando las
pantallas bienvenida basadas en texto que se muestran en algunos Hosts.

• Método de escaneo más fácil

• Soporta agarramiento de banners

Ataques de espionaje

Donde un atacante utiliza software de monitoreo especial para obtener acceso a comunicaciones en el
cable de red o sobre una red inalámbrica.

• Robar contenido.
• Recopilación de nombres de usuario y contraseñas para futuros ataques.
• En las redes cableadas, se requiere el acceso físico a la red.
• En redes inalámbricas, un dispositivo capaz de recibir señales de red inalámbrica es
• Difícil de detectar.

Ataques de hombre en el medio

Una forma de espionaje donde el atacante hace una conexión entre dos víctimas y roba información
para usar Fraudulentamente.

• Dos víctimas.
 • 2 clientes. (1 cliente y 1 servidor.)
• El atacante controla el flujo de información entre
• Puede robar, modificar y reenviar datos a las víctimas.
• Intoxicación con ARP.

Ataques de hombre en el navegador

Un tipo de ataque basado en la red que combina un hombre en el medio ataque con el uso de un caballo
de Troya para interceptar y modificar la web transacciones en tiempo real.

• Troya modifica el navegador web de la víctima a través de extensiones o scripts.

• Recopilar información personal.
• Preguntar para crear pin de transacción de contraseña basada en token.
• Credenciales alteradas utilizadas para redirigir fondos o información.

Ataques de reproducción
Un tipo de ataque basado en red donde un atacante captura la red tráfico y lo almacena para
retransmitir en un momento posterior para obtener acceso a un host específico

• Capturar nombres de usuario, contraseñas y otros datos de autenticación,

• A menudo pasan desapercibidos.

Ataques DOS

Un tipo de ataque basado en la red en el que el atacante intenta interrumpir o sistemas verificables que
proporcionan servicios de red.

• Consumir el ancho de banda disponible del enlace de red.

• Consumir los recursos disponibles de un solo sistema.
• Explotar defectos de programación en OSS y aplicaciones.
• Sobrecargar el correo electrónico I nbox.
• Puede utilizar la suplantación de IP de dos maneras.
- Inundar el destino seleccionado de las direcciones de origen.
- Suplantar la dirección de destino y enviar datos a los destinatarios de las momias.
Ataques DDoS
Un ataque basado en la red en el que el atacante utiliza varios equipos en redes para iniciar un ataque
DOS desde muchos orígenes

• Utilice software no autorizado para crear bots y una botnet.

• Puede o no puede pasar de la intención maliciosa.
- Efecto Slashdot.

Actividad: Realizar un ataque DOS

Evil Foca es una herramienta para pentesters y auditores de seguridad cuyo prop6sito es prueba la
seguridad en redes de datos IPv4 e IPv6.

La herramienta es capaz de Ilevar a cabo varios ataques Como:

• MITM sobre redes IPv4 con ARP Spoofing e DHCP ACK Injection.
• WTM en redes IPv6 con simulaci6n de publicidad de vecinos, ataque SLAAC. DHCPv6 falso.
• DOS (Denegaci6n de servicio) en redes IPv4 con ARP Spoofing.
• DOS de servicio) en redes con SLAAC DOS.
• Secuestro de DNS.

Ataques de secuestro
Un grupo de ataques basados en la red donde el atacante obtiene el control de la comunicación entre
dos sistemas, a menudo disfrazado como una de las entidades.

Ataques de amplificación
Un ataque basado en la red en el que un atacante aumenta drásticamente el ancho de banda enviado a
una víctima durante un ataque DDoS.

• Icmp. Dns. UDP o NTP.

• Factor de amplificación.
- Una solicitud pequeña invoca una carga grande.
Tipos de ataques criptográficos
Tipo de ataque Criptográficos
Ataque conocido texto sin formato (KPA)
Ataque sin formato elegido
Ataque sólo texto cifrado
Ataque Texto cifrado elegido
Ataque de degradación
Ataque de repetición
Descripción
• El atacante tiene un mensaje de texto sin
formato y su texto cifrado
correspondiente.
• El atacante intenta derivar la correlación
entre ellos para determinar la clave de
cifrado.
• El atacante cifra un mensaje de texto no
cifrado seleccionado.
• El atacante analiza el texto cifrado
resultante para descifrar el cifrado.
• El atacante utiliza los resultados del
ataque para repetir iterativamente el
ataque ataque de texto sin formato
elegido adaptativo.
• El atacante tiene acceso al texto cifrado.
• El atacante intenta utilizar el análisis de
frecuencia u otros métodos para Cifrado.
• El atacante analiza un mensaje de texto
cifrado seleccionado e intenta encontrar
el a juego de texto sin formato.
• El atacante utiliza los resultados del
ataque para repetir iterativamente el
ataque ataque de texto cifrado elegido
adaptativo.
• El atacante aprovecha la necesidad de
compatibilidad con versiones anteriores.
• El atacante obliga a un ordenador a
abandonar el uso de mensajes a favor de
los mensajes de texto sin formato.
• El atacante intercepta las claves de sesión
o el tráfico de autenticación.
• El atacante los usa más adelante para
autenticarse y obtener acceso.
 Ataque de implementación débil
Tipos de ataques de aplicaciones
Tipo de ataque de aplicación
Scripting entre sitios (XSS)
XSRF
Ataques de inyección de comando
Explotación de día cero
Desbordamiento de búfer
Secuestro de ataques
Un grupo de ataques basados en la red donde el atacante obtiene el control de la comunicación entre
dos sistemas, a menudo disfrazado como una de las entidades.
• Concéntrese en cómo se implementa el
sistema criptográfico.
• (Otros ataques criptográficos se centran
en el algoritmo utilizado para cifrar los
datos de destino.)
Descripción
• Inyecta scripts maliciosos en sitios web
de confianza.
• Scripts para ejecutarse cuando un usuario
visita el sitio.
• Similar a los ataques de abrevaderos.
• Aprovecha la confianza establecida entre
un usuario autorizado de un sitio web y el
propio sitio web.
• Explota la confianza de un navegador
web en las cookies del navegador no
caducadas de un usuario.
• Los sitios web de destino utilizan la
entrada de usuarios autenticados de
confianza que utilizan cookies del
navegador para autenticarse
automáticamente.
• Inyección SQL.
• Inyección LDAP.
• Inyección XML.
• Recorrido del directorio.
• Ataque que se produce inmediatamente
después de identificar una vulnerabilidad.
• El nivel de protección está en su nivel
más bajo.
• Explota los tamaños de búfer de datos
fijos en una pieza de software de destino.
• Envía datos demasiado grandes para el
búfer, lo que hace que la aplicación
estruendo.
Tipo de ataque de secuestro
Secuestro de clicking
Secuestro de DNS
Secuestro de dominios
Secuestro de sesiones
Secuestro de URL / Typo en cuclillas
Ataques de amplificación (Cont.)
Tipo de ataque
Amplificación ICMP
Amplificación dns
Descripción
• Un atacante oculta vínculos bajo otros
elementos de la página web.
• Las víctimas seleccionan
involuntariamente los enlaces ocultos.
• Un atacante configura un servidor DNS
no autorizado.
• El servidor no autorizado responde a
solicitudes legítimas con IP direcciones
para sitios web malintencionados o
inexistentes.
• Un atacante roba un nombre de dominio.
• Información de registro de dominio
alterada y transferida.
• A veces se conoce como brandjacking.
• Un atacante explota una sesión de
equipo legítima.
• El objetivo es obtener acceso no
autorizado a la red o servicios.
• Robar cookies de sesión, usar la
predicción de secuencias e inyección de
comandos, y el uso de la intoxicación por
ARP.
• Un atacante registra nombres de dominio
que se asemejan mucho a los nombres de
sitios web legítimos.
• El objetivo es aprovechar la posibilidad
del dominio nombre que se está
escribiendo incorrectamente en un
navegador.
Descripción
• Conocido como ataques de Pitufos.
• Basado en el envío de grandes volúmenes
de paquetes de ping ICMP a un destino.
• Menos frecuente con los avances en el
enrutamiento.
• El atacante envía una consulta DNS (con
una dirección IP suplantada) a un DNS
para que el destino reciba un paquete de
respuesta DNS.
 • Solicitar información adicional aumenta
el tamaño de la respuesta Paquete.
Amplificación UDP • Aproveche los servicios de red para
amplificar sus efectos.
• Amplificación DNS.
• Ataques Fraggle:
o Basado en el envío de grandes
volúmenes de paquetes UDP a un
destino.
o Menos frecuente con los avances
en el enrutamiento.
Amplificación NTP • Un tipo de ataque de amplificación UDP.
• El envío de solicitudes monlist da lugar a
paquetes de respuesta 556,9 veces más
grandes que la solicitud.