Vous êtes sur la page 1sur 70

Indice

Capítulo 1 Objetivos ........................................................................................................................ 4


Capítulo 2 Introducción ................................................................................................................... 5
Capítulo 3 Marco teórico ................................................................................................................ 6
Capítulo 4 Virus informático ........................................................................................................... 8
Capítulo 5 Métodos de propagación ............................................................................................... 9
Capítulo 6 Métodos de protección.................................................................................................. 9
Capítulo 7 Tipos de virus ............................................................................................................... 11
Capítulo 8 Antivirus ....................................................................................................................... 12
Capítulo 9 Ingeniería social ........................................................................................................... 18
Capítulo 10 Las 12 Amenazas Más Peligrosas En Internet ............................................................ 20
Capítulo 11 Costes de la seguridad ............................................................................................... 23
Capítulo 12 Principios de seguridad .............................................................................................. 23
Capítulo 13 Seguridad básica en internet ..................................................................................... 24
Capítulo 14 Sistemas Operativos .................................................................................................. 25
Capitulo 15 Herramientas Antivirus .............................................................................................. 25
Capitulo 16 Criptografía ................................................................................................................ 26
Capítulo 17 Principios de seguridad .............................................................................................. 26
Capitulo 18 Seguridad básica en internet ..................................................................................... 27
Capitulo 19 Bloqueador de ventanas emergentes ........................................................................ 28
Capítulo 20 Correo Electrónico y Spam......................................................................................... 28
Capítulo 21 Precauciones recomendables .................................................................................... 29
Capítulo 22 Seguridad a nivel usuario ........................................................................................... 30
Capítulo 23 Software Espía ........................................................................................................... 31
Capítulo 24 Precauciones recomendables .................................................................................... 33
Capítulo 25 Phishing ...................................................................................................................... 34
Capítulo 26 Contraseñas seguras .................................................................................................. 34
Capítulo 27 Seguridad en Redes Wireless (Wi-Fi) ......................................................................... 37
Capítulo 28 Copias de Seguridad, Backus y Redundancia ............................................................. 39
Capítulo 29 Sistemas de Backus .................................................................................................... 40
Capítulo 30 Sistemas de Almacenamiento Externo: Discos y Memorias ...................................... 41
Capítulo 31 Los IDS ........................................................................................................................ 41
Capítulo 32 SNORT ........................................................................................................................ 42
Capítulo 33 Entorno ...................................................................................................................... 44
Capítulo 34 Ejemplos de reglas de snort ...................................................................................... 46
Capítulo 35 Instalación ................................................................................................................. 47
Capítulo 36 Uso como capturado de paquetes ............................................................................. 48
Capítulo 37 Ataques password cracking ...................................................................................... 49
Capítulo 38 Prevención ataques password cracking ..................................................................... 49
Capítulo 39 Técnica de ataque de diccionario .............................................................................. 50
Capítulo 40 Prevención de los ataques de diccionario ................................................................. 50
Capítulo 41 Ataques online pasivos – Wire Sniffing...................................................................... 52
Capítulo 42 Técnicas de detección de sniffers .............................................................................. 52
42.1.1 El Test DNS ......................................................................................................................... 52
42.1.2 El Test del Ping ................................................................................................................... 53
42.1.3 El Test ICMP........................................................................................................................ 53
Capítulo 43 Ataques online pasivos – MITM ................................................................................ 53
Capítulo 44 Ataques online activos – Password guessing ............................................................. 55
Capítulo 45 Ataque por Inyección de Hash ................................................................................... 55
Capítulo 46 Ataques de red distribuidos (DNA) ............................................................................ 57
Capítulo 47 Ataques no electrónicos ........................................................................................... 58
Capítulo 48 Ingeniería Social ........................................................................................................ 59
Capítulo 51 Ejecución de Aplicaciones ......................................................................................... 64
Capítulo 52 Esteganografía ........................................................................................................... 66
Conclusión ..................................................................................................................................... 68
Capítulo 1 Objetivos

1.1 Objetivo General

Con este manual podemos comprender el concepto de seguridad informática, en


lo cual podemos encontrar como evitar ataques informáticos, cuáles son los más
frecuentes, que tipos de antivirus existe y sus funcionamiento, todo esto es para
prepáranos para tener conocimiento de la seguridad informática.

1.2 Objetivos específicos

Comprender y analizar la seguridad informática en todas sus ramas y funciones en


la red de Internet.

Ayudar al usuario como prevenir ataques en la red de Internet.

Ayudar al usuario en analizar qué tipos de virus existen en la red de Internet.

Aquí en este manual el usuario comprenderá como atacar cuando exista un virus y
que tipo de antivirus puede utilizar.
Capítulo 2 Introducción
La seguridad informática, también conocida como ciber seguridad o seguridad de
tecnologías de la información, es el área relacionada con la informática y la
telemática que se enfoca en la protección de la infraestructura computacional y todo
lo relacionado con esta y, especialmente, la información contenida en una
computadora o circulante a través de las redes de computadoras. Para ello existen
una serie de estándares, protocolos, métodos, reglas, herramientas y leyes
concebidas para minimizar los posibles riesgos a la infraestructura o a la
información. La ciber seguridad comprende software, hardware, redes de
computadoras y todo lo que la organización valore y signifique un riesgo si esta
información confidencial llega a manos de otras personas, convirtiéndose, por
ejemplo, en información privilegiada. Para la mayoría de los expertos el concepto
de seguridad en la informática es utópico porque no existe un sistema 100% seguro.
Hay que advertir que la seguridad por ocultación no es un método seguro. Entonces
estaríamos fiándonos de la seguridad por ocultación, contra esta medida, Un
sistema que se apoya en la seguridad por ocultación puede tener vulnerabilidades
teóricas o prácticas, pero sus propietarios o diseñadores creen que esos puntos
débiles no se conocen, y que es probable que los atacantes no los descubran.

Uno de los principios de seguridad son; Integridad: La información sólo puede ser
modificada por quien está autorizado y de manera controlada, Confidencialidad: La
información sólo debe ser legible para los autorizados, Disponibilidad: Debe estar
disponible cuando se necesita, rrefutabilidad (No repudio): El uso o modificación de
la información por parte de un usuario debe ser irrefutable, es decir, que el usuario
no puede negar dicha acción.
Capítulo 3 Marco teórico
Históricamente la seguridad no ha sido nunca vista como una parte más de las
tecnologías de la información, sino como algo propio mas de las tecnologías de la
información, sino como algo propio de pequeños círculos de amistades.

3.1 Riesgos en la actualidad

Cada vez es necesaria menos especialización y menos conocimiento técnico para


llevar a cabo ataques, robar y/ o modificar información o cometer fraudes, no solo
está disponible y al alcance de todos la información sobre los fallos y las
vulnerabilidades y las herramientas para llevar a cabo todo tipo de acciones.

Si tomamos en cuenta que:

- Hoy en día todo está conectado con todo.


- El número de usuarios de la red crece exponencialmente.
- Cada vez hay más sistemas y servicios en la red.

El nivel de riesgo presentado es suficientemente alto como para empezar a pensar


en la seguridad como algo imprescindible.

3.2 Ataques actuales

3.2.1 Ataques híbridos

Este tipo de ataques son aquellos en los que se mezclan más de una técnica:

Ejemplo: DOS, DDOS, Exploits, Escaneos, Troyanos, Virus, Buffer Overflows,


Inyecciones, entre otras más.

Pueden ser de muy rápida programación y siempre se basan en alguna


vulnerabilidad de algún sistema.

Ejemplo: los gusanos Blaster, Sasser, o Slammer se propagaron por todo el planeta
en cuestión de pocas horas gracias a una mezcla de técnicas de uso de
vulnerabilidad, Buffer Overflows, escaneado de direcciones transmisión via internet.
Algunos consejos Básicos de la Seguridad, es recomendable seguir una serie de
consejos, prácticas y costumbres para maximizar la seguridad informática en la
empresa, algunos de ellos son los siguientes:

 Mantener actualizado el equipo (Sistema Operativo y aplicaciones).


 Hacer copias de seguridad con frecuencia.
 Instalar software legal (se obtiene garantía y soporte).
 Usar contraseñas fuertes (evitar nombres, fechas, datos conocidos o
deducibles, etc.).
 Utilizar herramientas de seguridad para proteger o reparar el equipo.
 No descargar o ejecutar ficheros desde sitios sospechosos o procedentes de
correos sospechosos o no solicitados.
 Analizar con un antivirus todo lo que se descargue.
 No facilitar la cuenta de correo a desconocidos o publicarla en sitios
desconocidos.
 No responder a mensajes falsos.
 Observar que la dirección comienza por httpS cuando se esté comprando o
consultando banca por internet.
 Tener en cuenta que el banco nunca pedirá información confidencial por
correo electrónico ni por teléfono.

.
Capítulo 4 Virus informático
Los virus son programas informáticos que tienen como objetivo alterar el
funcionamiento del computador, sin que el usuario se de cuenta. Estos, por lo
general, infectan otros archivos del sistema con la intensión de modificarlos para
destruir de manera intencionada archivos o datos almacenados en tu computador.
Aunque no todos son tan dañinos. Existen unos un poco más inofensivos que se
caracterizan únicamente por ser molestos. Los virus informáticos tienen
básicamente la función de propagarse a través de un software, son muy nocivos y
algunos contienen además una carga dañina con distintos objetivos, desde una
simple broma hasta realizar daños importantes en los sistemas, o bloquear las redes
informáticas generando tráfico inútil. El funcionamiento de un virus informático es
conceptualmente simple. Se ejecuta un programa que está infectado, en la mayoría
de las ocasiones, por desconocimiento del usuario. El código del virus queda alojado
en la memoria RAM de la computadora, incluso cuando el programa que lo contenía
haya terminado de ejecutar. El virus toma entonces el control de los servicios
básicos del sistema operativo, infectando, de manera posterior, archivos ejecutables
que sean llamados para su ejecución. Finalmente se añade el código del virus al
programa infectado y se graba en el disco, con lo cual el proceso de replicado se
completa, Los virus informáticos afectan en mayor o menor medida a casi todos los
sistemas más conocidos y usados en la actualidad. Una de las características es
que los virus es el consumo de recursos, los virus ocasionan problemas tales como;
la pérdida de productividad, cortes en los sistemas de información o daños a nivel
de datos.

Una de las características es la posibilidad que tienen de diseminarse por medio de


réplicas y copias. Las redes en la actualidad ayudan a dicha propagación cuando
éstas no tienen la seguridad adecuada. Otros daños que los virus producen a los
sistemas informáticos son la pérdida de información, horas de parada productiva,
tiempo de reinstalación, etc., Hay que tener en cuenta que cada virus plantea una
situación diferente.
Capítulo 5 Métodos de propagación
Existen dos grandes clases de contagio. En la primera, el usuario, en un momento
dado, ejecuta o acepta de forma inadvertida la instalación del virus. En la segunda,
el programa malicioso actúa replicándose a través de las redes. En este caso se
habla de gusanos. En cualquiera de los dos casos, el sistema operativo infectado
comienza a sufrir una serie de comportamientos anómalos o imprevistos. Dichos
comportamientos pueden dar una pista del problema y permitir la recuperación del
mismo. Dentro de las contaminaciones más frecuentes por interacción del usuario
están las siguientes:

 Mensajes que ejecutan automáticamente programas (como el programa de


correo que abre directamente un archivo adjunto).
 Ingeniería social, mensajes como «ejecute este programa y gane un premio»,
o, más comúnmente: «Haz 2 clics y gana 2 tonos para móvil gratis».
 Entrada de información en discos de otros usuarios infectados.
 Instalación de software modificado o de dudosa procedencia.

En el sistema Windows puede darse el caso de que la computadora pueda


infectarse sin ningún tipo de intervención del usuario (versiones Windows 2000, XP
y Server 2003) por virus como Blaster, Sasser y sus variantes por el simple hecho
de estar la máquina conectada a una red o a Internet. Este tipo de virus aprovechan
una vulnerabilidad de desbordamiento de buffer y puertos de red para infiltrarse y
contagiar el equipo, causar inestabilidad en el sistema, mostrar mensajes de error,
reenviarse a otras máquinas mediante la red local o Internet y hasta reiniciar el
sistema, entre otros daños. En las últimas versiones de Windows 2000, XP y Server
2003 se ha corregido este problema en su mayoría.

Capítulo 6 Métodos de protección


Los métodos para disminuir o reducir los riesgos asociados a los virus pueden ser
los denominados activos o pasivos.

6.1 Activos

6.1.1 Antivirus: son programas que tratan de descubrir las trazas que ha dejado un
software malicioso, para detectarlo y eliminarlo, y en algunos casos contener o parar
la contaminación. Tratan de tener controlado el sistema mientras funciona parando
las vías conocidas de infección y notificando al usuario de posibles incidencias de
seguridad. Por ejemplo, al verse que se crea un archivo llamado Win32.EXE.vbs en
la carpeta C:\Windows\%System32%\ en segundo plano, ve que es comportamiento
sospechoso, salta y avisa al usuario.

6.1.2Filtros de ficheros: Consiste en generar filtros de ficheros dañinos si el


computador está conectado a una red. Estos filtros pueden usarse, por ejemplo, en
el sistema de correos o usando técnicas de firewall. En general, este sistema
proporciona una seguridad donde no se requiere la intervención del usuario, puede
ser muy eficaz, y permitir emplear únicamente recursos de forma más selectiva.

6.1.3Actualización automática: Consiste en descargar e instalar las


actualizaciones que el fabricante del sistema operativo lanza para corregir fallos de
seguridad y mejorar el desempeño. Dependiendo de la configuración el proceso
puede ser completamente automático o dejar que el usuario decida cuándo instalar
las actualizaciones.

6.2 Pasivos

Para no infectar un dispositivo, hay que:

 No instalar software de dudosa procedencia.


 No abrir correos electrónicos de desconocidos ni adjuntos que no se
reconozcan.
 Usar un bloqueador de elementos emergentes en el navegador.
 Usar la configuración de privacidad del navegador.
 Activar el Control de cuentas de usuario.
 Borrar la memoria caché de Internet y el historial del navegador.
 No abrir documentos sin asegurarnos del tipo de archivo. Puede ser un
ejecutable o incorporar macros en su interior.

Capítulo 7 Tipos de virus


Existen diversos tipos de virus, varían según su función o la manera en que este se
ejecuta en nuestra computadora alterando la actividad de la misma, entre los más
comunes están:

7.1 Recycler: Consiste en crear un acceso directo de un programa y eliminar su


aplicación original, además al infectar un pendrive convierte a toda la información
en acceso directo y oculta el original de modo que los archivos no puedan ser vistos,
pero con la creación de un archivo batch que modifique los atributos de los archivos
contenidos en el pendrive, estos podrían ser recuperados.

7.2 Troyano: Consiste en robar información o alterar el sistema del hardware o en


un caso extremo permite que un usuario externo pueda controlar el equipo.

7.3 Bombas lógicas o de tiempo: Son programas que se activan al producirse un


acontecimiento determinado. La condición suele ser una fecha (bombas de tiempo),
una combinación de teclas, o ciertas condiciones técnicas (bombas lógicas). Si no
se produce la condición permanece oculto al usuario.

7.4Gusano: Tiene la propiedad de duplicarse a sí mismo.

7.5 Hoax: Los hoax no son virus ni tienen capacidad de reproducirse por sí solos.
Son mensajes de contenido falso que incitan al usuario a hacer copias y enviarla a
sus contactos. Suelen apelar a los sentimientos morales («Ayuda a un niño enfermo
de cáncer») o al espíritu de solidaridad («Aviso de un nuevo virus peligrosísimo») y,
en cualquier caso, tratan de aprovecharse de la falta de experiencia de los
internautas novatos.

7.6 Joke: Al igual que los hoax, no son virus, pero son molestos, un ejemplo: una
página pornográfica que se mueve de un lado a otro, y si se le llega a dar a cerrar
es posible que salga una ventana que diga error.

Capítulo 8 Antivirus
Los antivirus son programas cuyo objetivo es detectar o eliminar virus informáticos.
Con el transcurso del tiempo, la aparición de sistemas operativos más avanzados e
internet, los antivirus han evolucionado hacia programas más avanzados que
además de buscar y detectar virus informáticos consiguen bloquearlos, desinfectar
archivos y prevenir una infección de los mismos. Actualmente son capaces de
reconocer otros tipos de malware como spyware, gusanos, troyanos, rootkits, y el
virus zombie etc.

8.1 Métodos de funcionamiento


De acuerdo a la tecnología empleada, un motor de antivirus puede funcionar de
diversas formas, pero ninguno es totalmente efectivo, según lo demostrado por
Frederick Cohen, quien en 1987 determinó que no existe un algoritmo perfecto para
identificar virus.Algunos de los mecanismos que usan los antivirus para detectar
virus son:

8.1.1 Firma digital: consiste en comparar una marca única del archivo con una base
de datos de virus para identificar coincidencias.

8.1.2 Detección heurística: consiste en el escaneo de los archivos buscando


patrones de código que se asemejan a los que se usan en los virus.
8.1.3 Detección por comportamiento: consiste en escanear el sistema tras detectar
un fallo o mal funcionamiento. Por lo general, mediante este mecanismo se pueden
detectar software ya identificado o no, pero es una medida que se usa tras la
infección.

8.1.4 Detección por caja de arena (o sandbox): consiste en ejecutar el software en


máquinas virtuales y determinar si el software ejecuta instrucciones maliciosas o no.
A pesar de que este mecanismo es seguro, toma bastante tiempo ejecutar las
pruebas antes de ejecutar el software en la máquina real.

8.2 Tipos de antivirus según su finalidad


Prevenir, identificar o eliminar son las tres posibilidades que se presentan para
acabar con un virus y, de acuerdo con ellas, existen tres modelos de antivirus:

8.2.1 Antivirus pre ventores: se caracterizan por anticiparse a la infección para evitar
la entrada de un programa malicioso en el ordenador. Por tanto, su nombre hace
referencia a su capacidad de prevenir el ataque de los virus a los sistemas
informáticos. No obstante, al almacenarse en la memoria de la computadora, no son
los más utilizados, ya que pueden ralentizar el funcionamiento del equipo.

8.2.2 Antivirus identificadores: su función es, como indica su nombre, identificar


amenazas que pueden afectar al rendimiento del sistema operativo. Para ello,
exploran el sistema y examinan las secuencias de bytes de los códigos que están
relacionados con los programas peligrosos.

8.2.3 Antivirus des contaminadores: su objetivo se centra en acabar con la infección


que ha dañado el ordenador, eliminación para ello los virus. Asimismo, también trata
de devolver al sistema el estado en el que se hallaba antes de ser atacado por el
programa malicioso.

8.3 Tipos de antivirus según su objetivo específico


Programas espía, apropiación de datos con fines fraudulentos en determinados
sitios web, ventanas emergentes, entrada en nuestra dirección de correo electrónico
de mensajes no solicitados… Estas son algunas de las amenazas a las que se ven
expuestos un ordenador o su propietario. Para prevenir cada uno de ellas, existen
herramientas concretas que forman parte de los antivirus, especialmente en sus
versiones completas. Veamos cuáles son:

 8.3.1 Firewall: también conocido como cortafuegos, se encuentra dentro de


la categoría de herramientas preventivas, ya que actúa como un muro de
defensa que trata de bloquear el acceso de programas malintencionados a
un sistema. Es muy recomendable, sobre todo, en aquellos equipos con
conexión permanente (o asidua) a una red o a Internet. El objetivo del firewall
es controlar el tráfico de entrada y salida, y paralizar las actividades
sospechosas.
 8.3.2 Antispyware: son aplicaciones que detectan y eliminan los programas
espía, es decir, aquellos que se instalan en el ordenador de manera oculta
para conocer los hábitos de navegación del usuario así como sus
contraseñas y otros datos, que después transmiten a una entidad no
autorizada.
 8.3.3 Anti pop-ups: su objetivo es identificar y evitar la ejecución de las
molestas ventanas emergentes que aparecen mientras se navega por
Internet, conocidas como pop-ups. En algunas de dichas ventanas se
esconden muchos programas espía.
 8.3.4 Antispam: es la utilidad que se utiliza para prevenir la llegada de correo
basura (spam) a la bandeja de entrada de nuestra dirección de e-mail,
enviándolo directamente a la papelera de reciclaje o a la bandeja de correo
no deseado.
 8.3.5 Antimalware: más que una herramienta, suele ser un programa que
bloquea y elimina cualquier forma de malware, siendo Malware bytes Anti-
Malware (MBAM) un conocido ejemplo. Malware, en realidad, es cualquier
software malicioso o programa que se infiltra en un ordenador con el objetivo
de dañarlo. En muchas ocasiones, se utiliza como sinónimo de “virus”.
8.4 Tipos de antivirus según su función
Los antivirus, de acuerdo con lo explicado en epígrafes anteriores, pueden cumplir
diversas funciones en su lucha por identificar las amenazas informáticas y acabar
con ellas. Así, las aplicaciones de defensa pueden clasificarse en:

 8.4.1 Eliminadores-reparadores: el objetivo de estos antivirus se centra en


eliminar las amenazas de las partes afectadas del sistema. Además,
posteriormente, reparan el ordenador para devolverlo a su estado previo.
 8.4.2 Detectores: su función no es otra que la de avisar al usuario de la
presencia de un virus conocido. Sin embargo, en este caso, es dicho usuario
quien se encarga de solucionar el problema para acabar con la infección.
 8.4.3 Inmunizadores: destacan por su seguridad, ya que se anticipan a la
entrada o ataque de cualquier programa malicioso. Instalados en la memoria
del dispositivo, se encargan, principalmente, de vigilar la ejecución de las
aplicaciones, de formatear los discos y de copiar los ficheros.
 8.4.4 Heurísticos: funcionan como un simulador, ya que fingen la puesta en
marcha de programas para ver cómo se comportan e identificar situaciones
sospechosas.
 8.4.5 Residentes: como los inmunizadores, se hallan en la memoria del
equipo y su función consiste en analizar los programas desde el momento en
el que el usuario los abre, examinando si el archivo abierto contiene, o no,
algún virus.

8.5 Tipos de antivirus según su categoría


Por último, para finalizar nuestra amplia clasificación de antivirus, hemos aludido a
su categoría o condición, relacionada con su manera de actuar o el lugar donde se
instala:
 8.5.1 Antivirus pasivo: es aquel que no tiene un funcionamiento ni una
protección permanentes, aunque esté instalado en el ordenador.
 8.5.2 Antivirus activo: es aquel programa que, aunque puede no ejercer
una protección constante, sí se ejecuta y trabaja, llevando a cabo alguna
clase de acción, de continuo.
 8.5.3 Antivirus online: no está instalado en el equipo, sino que realiza los
análisis desde Internet. Por ello, no funciona como un medio de protección
para la computadora, sino que se emplea tan sólo para saber si existe
algún virus en esta última. Son, además, pasivos porque no poseen un
funcionamiento permanente.
 8.5.4 Antivirus offline: es aquel programa que se instala en el ordenador
para la protección de éste, la detección de amenazas y la eliminación de
aplicaciones maliciosas.
8.6 Cuadro comparativo de antivirus
Capítulo 9 Ingeniería social
Son ataques en los que se intenta engañar a algún usuario para hacerle creer como
cierto algo que no lo es. Esta es la práctica de obtener información confidencial a
través de la manipulación de usuario. Es una técnica que pueden usar ciertas
personas, tales como investigadores privados, criminales, o delincuentes
informáticos, para obtener información, acceso o privilegios en sistemas de
información que les permitan realizar algún acto que perjudique o exponga la
persona u organismo comprometido a riesgo o abusos. El principio que sustenta la
ingeniería social es el que en cualquier sistema "los usuarios son el eslabón débil".
En la práctica, un ingeniero social usará comúnmente el teléfono o Internet para
engañar a la gente, fingiendo ser, por ejemplo, un empleado de algún banco o
alguna otra empresa, un compañero de trabajo, un técnico o un cliente.

9.1.1 Phishing

El ‘phishing’ viene del término en inglés de pescar. Los criminales informáticos tiran
correos con ‘anzuelos’ para ver si alguien cae en la trampa. Con mucha inteligencia,
los atacantes se hacen pasar por un miembro del equipo de TI o algún ejecutivo
para pedir las credenciales de acceso al sistema a una víctima desconcertada. Por
ejemplo, alguien crea una cuenta con la dirección de correo muy similar a la del
presidente de la compañía (reemplazando la l con I) y pide le información a
diferentes subalternos.
Lo normal es que le respondan y, aunque no manden la contraseña, el atacante ya
tiene la información suficiente para hacer una llamada y hacerse pasar por el
presidente de una manera más convincente. La complejidad de la ingeniería social
está en que los criminales usan varios ataques al mismo tiempo que se van
complementando para poder engañar fácilmente a sus objetivos. “Entre las muy
diversas formas en que se ejecuta la ingeniería social, la más común y efectiva es
aprovechar la información que su objetivo divulga (voluntaria o involuntariamente)
en internet (redes sociales) y de lo que él se puede averiguar o conocer en la red,
para establecer contacto (telefónico, personal, o no presencial) con él para ejecutar
su ataque”, explicó Romero.

Para prevenir el ‘phishing’ es necesario educar a los empleados. Según el ejecutivo


de .CO Internet, se puede mitigar el riesgo “gestionando planes de acción claros de
concientización a todo el personal así como incidentes relativos a este flagelo en
particular”. No podemos asumir que todos los empleados conozcas las técnicas de
‘phishing’ y aun así, no sobra reforzar los conocimientos con cierta periodicidad.

9.1.2 Acceso no autorizado

Los atacantes son tan atrevidos que muchos se ponen una corbata y crean una
identificación falsa para entrar a las instalaciones de la compañía como un ejecutivo
más. Como bastantes empresas implementan tarjetas de seguridad, los atacantes
saben que las convenciones sociales son más importantes que la seguridad y
esperan que algún empleado legítimo le ‘tenga la puerta’ para poder entrar sin pasar
por los controles de seguridad.

Este ataque ha sido ampliamente usados para robar información, dejar dispositivos
como ‘keyloggers’ o troyanos y hacer reconocimiento para realizar un ataque más
especializado. Aunque suene un poco descortés, no hay que dejarle la puerta
abierta a nadie o por lo menos verificar que la otra persona ponga su tarjeta para
que verifique su identidad. Las personas que están en las recepciones tienen que
estar muy pendientes de que todo el mundo realice adecuadamente el proceso de
entrada.
9.2 La USB tentadora

Otra de las técnicas más conocidas y efectivas es dejar una USB en un sitio cercano
a la oficina (como un café o un restaurante) para que algún empleado la lleve y la
conecte a su computador. La USB, en principio, parece inofensiva, pero en realidad
está cargada con malware que puede poner en peligro todo el sistema corporativo.
Muchas compañías han deshabilitado los puertos USB de sus computadores, pero
eso lo quita bastante funcionamiento al equipo. Es mucho mejor educar a los
empleados y hacerles caer en cuentas las consecuencias que puede tener una
vulnerabilidad informática.

Entonces, ¿qué debemos hacer? Primero que todo, hay que tener en regla la
tecnología. Los dominios .com.co son de los más seguros del mundo y cuentan con
la confianza de los empresarios, emprendedores e inversionistas. Por eso, para
tener esa cuota de confianza en internet, te recomendamos registrar tu dominio en
www.cointernet.com.co. Debes tener un ‘firewall’ de primera línea, todos los equipos
deben tener el antivirus actualizado y contar con un antispam dinámico e inteligente.

Capítulo 10 Las 12 Amenazas Más Peligrosas En


Internet
- 10.1.1 Cross-site scripting:

Es un ataque que utiliza secuencias de comandos en el navegador web de la


víctima. Esto ocurre cuando un navegador visita un sitio web malicioso o hace clic
en un enlace malicioso. Las consecuencias más peligrosas ocurren cuando se
utiliza este método para explotar las vulnerabilidades que pueden permitir a un
atacante robar los cookies (datos intercambiados entre el servidor web y un
navegador), realizar capturas de pantalla, descubrir y recoger información de la red
y/o controlar la máquina de la víctima

- 10.1.2 Denegación de servicio (Denial-of-service):

Este tipo de ataque también conocido como DoS, impide o dificulta el uso autorizado
de las redes, sistemas, aplicaciones debido al agotamiento de los recursos. Por lo
general, este tipo de ataques está dirigido a los servidores de una compañía con el
fin de imposibilitar el acceso de los usuarios.

- 10.1.3 Denegación de servicio distribuido (Distributed denial-of-


service):

Una variante del ataque de denegación de servicio con la diferencia de que se


utilizan numerosas computadoras (computadoras zombies) para llevar a cabo el
ataque.

- 10.1.4 Bomba lógica (Logic bomb):

Este tipo de ataque se lleva a cabo colocando intencionalmente un pedazo de


código de programación dañino dentro del código fuente de un software. El objetivo
es ejecutar una función maliciosa al momento que se produzcan ciertas condiciones
determinadas.

- 10.1.5 Intercepción (Passive wiretapping):


Es un tipo de ataque mediante el cual un tercero capta la información (esta puede
estar en texto claro o cifrada) que estaba siendo transmitida entre dos nodos en la
red. La captación de la información puede realizarse por múltiples medios (redes
alámbricas, redes wireless, etc). Este tipo de ataque tiene la particularidad de que
es muy difícil de detectar mientras es llevado a cabo, por lo que un atacante puede
capturar cierta información privilegiada (usuarios y contraseñas) para acceder luego
al sistema o a la red para buscar más información o causar algún daño.

- 10.1.6 SQL inyección:

Este tipo de ataque consiste en la inserción del código malicioso en una aplicación
web con el propósito de obtener acceso no autorizado a información confidencial
grabadas en una base de datos.

- 10.1.7 Caballo de Troya (Trojan horse):

Es un programa de computadora que a simple vista parece tener una función útil,
pero al mismo tiempo también tiene una función oculta y potencialmente peligrosa,
evadiendo de esta forma los mecanismos de seguridad.

- 10.1.8 Virus:

Son programas capaces de copiarse a sí mismos e infectar un ordenador sin el


permiso o conocimiento del usuario. Un virus puede dañar o eliminar datos
guardados. Regularmente utilizan los programas de correo electrónico para
propagarse a través de la red hacia otros ordenadores, o incluso borrar todo el
contenido del disco duro. A diferencia de un gusano informático, un virus requiere
la intervención humana (por lo general sin saberlo) para propagarse.

- 10.1.9 War driving:


Es la actividad que se realiza con el objetivo de buscar en las avenidas de las
ciudades redes inalámbricas no seguras. El wardriving regularmente se realiza
desde un automóvil utilizando una computadora portátil junto con una antena Wifi
de largo alcance.

- 10.1.10 Worm (gusano):

Es un programa malicioso que utiliza mecanismos de red para propagarse. A


diferencia de los virus informáticos, el gusano no requiere intervención humana para
propagarse.

Capítulo 11 Costes de la seguridad


El esfuerzo tanto económico como humano de los departamentos de seguridad
debe buscar siempre cuatro objetivos:

- 11.1.2 Disponibilidad: se consideran sistemas aceptables a partir de dos


nueves, esto es: disponibles el 99.99% del tiempo. La inversión por cada
nueve extra es siempre muy elevada.
- 11.1.2 Confidencialidad: seguridad “Keep the bad guys out”
- 11.1.3 Cumplimiento de la seguridad: LOPD, Sarbanes-Oxley, ISO17799.

Capítulo 12 Principios de seguridad


Para que un sistema se pueda definir como seguro debe tener estas cuatro
características:

1. 12.1.1 Integridad: La información sólo puede ser modificada por quien está
autorizado y de manera controlada.
2. 12.1.2 Confidencialidad: La información solo debe ser legible para los
autorizados.
3. 12.1.3 Disponibilidad: Debe estar disponible cuando se necesita.
4. 12.1.4 Irrefutabilidad: El uso y/o modificación de la información por parte de
un usuario debe ser irrefutable, es decir, que el usuario no puede negar dicha
acción.

Capítulo 13 Seguridad básica en internet


13.1 Cortafuegos (firewall)

Un cortafuegos o firewall es un elemento de hardware o software que se utiliza en


una red de computadoras para controlar las comunicaciones, permitiéndolas o
prohibiéndolas según las políticas de red que haya definido la organización
responsable de la red. Un cortafuego correctamente configurado añade protección
a una instalación informática, pero en ningún caso debe considerarse suficiente. La
seguridad informática abarca más ámbitos y más niveles de trabajo y protección.

La instalación y uso de firewall tiene ventajas que repercuten en la seguridad


general del sistema informático:

- 13.1.1 Protege de intrusiones.- El acceso a ciertos segmentos de la red de


una organización sólo se permite desde máquinas autorizadas de otros
segmentos de la organización o de Internet.
- 13.1.2 Protección de información privada.- Permite definir distintos niveles
de acceso a la información, de manera que en una organización cada grupo
de usuarios definido tendrá acceso sólo a los servicios y la información que
le son estrictamente necesarios.
- 13.1.3 Optimización de acceso.- Identifica los elementos de la red internos
y optimiza que la comunicación entre ellos sea más directa. Esto ayuda a
reconfigurar los parámetros de seguridad.

El firewall es posible instalarlo en diferentes niveles y dispositivos en el


sistema informático.
Capítulo 14 Sistemas Operativos
14.1. 1 Necesidad de actualización

Hay tres razones que hacen imprescindible la periódica actualización de los


sistemas Windows:
- Necesidad de corregir problemas de seguridad. Con el uso de las
aplicaciones se van descubriendo "agujeros" de seguridad en las mismas.
- Una vez se ha encontrado un agujero, se busca la forma de "taparlo" y se
pone a disposición de los usuarios la solución.
- Aparición de nuevas funcionalidades.
- Publicación de nuevas versiones de controladores de hardware.

Capitulo 15 Herramientas Antivirus


15.1.1 Un antivirus es una herramienta imprescindible para cualquier ordenador
conectado a internet

Daños que puede causar un antivirus

Te vamos a dar unos cuántos ejemplos del alcance que puede tener un virus.

 15.1.2 Visualizar mensajes molestos por pantalla


 15.1.3 Travesuras: el virus “Yankee” reproduce la canción “YANKEE
DOODLE DANDY” a las 5PM
 15.1.4 Denegación de servicio (DoS): por ejemplo, un virus que te coge y
te pone una contraseña a un documento. El usuario no puede abrirlo por
desconocer dicha contraseña.
 15.1.5 Robo de datos: algunos mandan información de los datos del usuario
por correo, incluso cogen ficheros del disco duro y lo envían a cualquiera de
su libreta de direcciones.
 15.1.6 Corrupción de datos: alterar contenido de archivos
 15.1.7 Borrado de datos.
Capitulo 16 Criptografía
16.1.1 Rama inicial de las Matemáticas y en la actualidad de la Informática y la
elemática, que hace uso de métodos y técnicas con el objeto principal de cifrar y/o
proteger un mensaje o archivo por medio de un algoritmo, usando una o más claves.
Esto da lugar a diferentes tipos de sistemas de cifra, llamados criptosistemas, que
permiten asegurar alguno de estos tres aspectos básicos de la seguridad
informática: la confidencialidad, la integridad y el no repudio de emisor y no repudio
de receptor.

Capítulo 17 Principios de seguridad


17.1.1 Para que un sistema se pueda definir como seguro debe tener estas cuatro
características:

5. 17. 1.2 Integridad: La información sólo puede ser modificada por quien está
autorizado y de manera controlada.
6. 17.1.3 Confidencialidad: La información solo debe ser legible para los
autorizados.
7. 17.1.4 Disponibilidad: Debe estar disponible cuando se necesita.
8. 17.1. 5 Irrefutabilidad: El uso y/o modificación de la información por parte
de un usuario debe ser irrefutable, es decir, que el usuario no puede negar
dicha acción.

17.1.6 Consejos básicos de seguridad para navegar por internet


Se recomienda seguir algunos consejos, prácticas y costumbres para maximizar la
seguridad de alguna institución, empresa, algunos de ellos son los siguientes.

 Mantener actualizado el equipo (Sistema Operativo y aplicaciones )


 Hacer copias de seguridad cada determinado de preferencia en unidades
extraíbles.
 No instalar software pirata o ilegal ya que pueden dañar su PC.
 Descargar software original bajo una licencia, también de manera gratuita
siempre y cuando sean descargados de la página oficial.
 Usar contraseñas seguras (evitar escribir nombres personales, fechas, datos
conocidos o deducibles, etc.)
 Es recomendable escribir contraseñas largas, que contenga cifrados
combinados con números, letras y signos.
 Utilizar herramientas de seguridad para proteger el sistema con intrusiones
para proteger o reparar el equipo.
 No descargar o ejecutar ficheros desde páginas de internet sospechosos.
 Analizar con un buen antivirus todo archivo que entran a su computadora.
 No facilitar la cuenta de correos electrónicos a personas sospechas pueden
ser hackers.
 No dar clic a anuncios en internet.
 Observar al navegar por el internet que las URL de páginas tengan https
cuando estén haciendo cosas importantes como comprar en línea.
 Tener en cuenta que cualquier banco nunca pedirá información confidencial
por correo electrónico ni por teléfono.

Capitulo 18 Seguridad básica en internet


18.1.1 Navegadores web

Navegador web es una aplicación de software que permite a los usuarios de Internet
acceder, navegar y buscar información, servicios o productos a nivel mundial. Los
navegadores web interpretan enlaces de hipertexto que permiten leer documentos
formateados en HTML, JavaScript y AJAX de tal manera que puedan ser vistos en
la pantalla del computador. Navegador web conocido también como “navegador
de Internet“, “explorador web” o simplemente “browser“. Un navegador de
Internet sirve para recuperar y visualizar la información que contiene un sitio
web desde servidores localizados alrededor del mundo. Esta red de documentos es
denominada World Wide Web o www. Los navegadores ofrecen plug-ins que
extienden las capacidades del software para mostrar información multimedia
como audio y vídeo. En la actualidad, cualquier navegador permite mostrar o
ejecutar gráficos, secuencias de vídeo, sonido, animaciones, además del texto y los
hipervínculos o enlaces. El proceso de seguimiento de los enlaces de una página a
otra, ubicada en cualquier computadora conectada a la Internet, se
llama navegación; que es de donde se origina la palabra navegador.
Los documentos que se muestran como resultado de la navegación son
denominados páginas web, los cuales poseen hipervínculos para enlazar una
porción de texto o una imagen a otro documento, normalmente relacionado con el
texto o la imagen.
18.1.2 ¿Para qué sirve un navegador web?

La función principal de un browser es permitir la visualización de documentos de


texto, los cuales pueden contener recursos multimedia. Los documentos pueden
estar ubicados en la computadora del usuario, pero también pueden estar en
un dispositivo externo o a través de Internet.
Un navegador se puede utilizar para realizar videoconferencias, diseñar páginas
web o agregar los filtros anti-phishing u otras características de seguridad para un
sitio web.

18.1.3 Ejemplos de Navegadores de Internet

Nombre URL
Google Chrome https://www.google.com.mx
Firefox https://www.mozilla.org
Opera ttps://www.mozilla.org

Los browsers más populares de son Google Chrome e Internet Explorer. Es


probable que para ver esta misma página hayas utilizando uno de los navegadores
arriba mencionados.

Capitulo 19 Bloqueador de ventanas emergentes


19.1.1 Un Bloqueador de ventanas emergentes o Anti pop-up es un programa
diseñada con el único fin de evitar, bloquear o no mostrar ventanas emergentes.
Cuando el usuario navega por Internet se puede ver acorralado de ventanitas, las
ventanas emergentes, que pueden salir por delante o por detrás de la ventana
activa, también depende de lo que realice el usuario, se dan muchos casos de
ventanas que se abre al cierre de otras ventanas.

Capítulo 20 Correo Electrónico y Spam


20.1.1 Usualmente los mensajes indican como remitente del correo una dirección
falsa. Por esta razón, es más difícil localizar a los verdaderos remitentes, y no sirve
de nada contestar a los mensajes de Spam: las respuestas serán recibidas por
usuarios que nada tienen que ver con ellos. Por ahora, el servicio de correo
electrónico no puede identificar los mensajes de forma que se pueda discriminar la
verdadera dirección de correo electrónico del remitente, de una falsa. Esta situación
que puede resultar chocante en un primer momento, es semejante por ejemplo a la
que ocurre con el correo postal ordinario: nada impide poner en una carta o postal
una dirección de remitente aleatoria: el correo llegará en cualquier caso. No
obstante, hay tecnologías desarrolladas en esta dirección: por ejemplo el remitente
puede firmar sus mensajes mediante criptografía de clave pública.

Además del spam, existen otros problemas que afectan la seguridad y veracidad de
este medio de comunicación:

 20.1.2 Los virus informáticos, que se propagan mediante ficheros adjuntos


infectando el ordenador de quien los abre.
 20.1.3 El phishing, que son correos fraudulentos que intentan conseguir
información bancaria
 20.1.4 Los engaños, que difunden noticias falsas masivamente.
 20.1.5 Las cadenas de correo electrónico, que consisten en reenviar un
mensaje a mucha gente; aunque parece inofensivo, la publicación de listas
de direcciones de correo contribuyen a la propagación a gran escala del
spam y de mensajes con virus, phishing y hoax.

Capítulo 21 Precauciones recomendables


21.1.1 Cuando recibamos un mensaje de correo electrónico que hable de algo que
desconocemos (aunque nos lo haya mandado alguien que conocemos) conviene
consultar su veracidad (por ejemplo a partir de buscadores de la web, tratando de
consultar en el sitio web de la supuesta fuente de la información o en webs serias,
fiables y especializadas en el tipo de información en cuestión). Sólo si estamos
seguros de que lo que dice el mensaje es cierto e importante de ser conocido por
nuestros contactos lo reenviaremos, teniendo cuidado de poner las direcciones de
correo electrónico de los destinatarios en la casilla CCO (puede ser necesario poner
sólo nuestra dirección de email en la casilla Para) y borrando del cuerpo del mensaje
encabezados previos con direcciones de email (para facilitar la lectura es preferible
copiar la parte del cuerpo del mensaje sin los encabezados previos y pegarla en un
mensaje nuevo -o en el que aparece tras pinchar en reenviar tras borrar todo el
texto, repetido a partir de previos envíos-). Así evitaremos la propagación del spam
así como la de mensajes con virus (u otro tipo de malware), phishing o hoax.
Conviene que hagamos saber esto a nuestros contactos en cuanto nos reenvían
mensajes con contenido falso, sin utilizar la casilla CCO o sin borrar encabezados
previos con direcciones de correo electrónico.

Capítulo 22 Seguridad a nivel usuario


22.1.1 Software malicioso

Con el nombre software malicioso agrupamos todos los tipos de programas que han
sido desarrollados para entrar en ordenadores sin permiso de su propietario, y
producir efectos no deseados. Estos efectos se producen algunas veces sin que
nos demos cuenta en el acto. Esta expresión es un término general muy utilizado
por profesionales de la computación para definir una variedad de software o
programas de códigos hostiles e intrusivos.

Muchos usuarios de computadores no están aún familiarizados con este término y


otros incluso nunca lo han utilizado. Sin embargo la expresión "virus informático" es
más utilizada en el lenguaje cotidiano y a menudo en los medios de comunicación
para describir todos los tipos de malware.

Existen muchísimos tipos de software malicioso, aunque algunos de los más


comunes son los virus informáticos, los gusanos, los troyanos, los programas de
spyware o incluso ciertos bots. Dos tipos comunes de software malicioso es los virus
y los gusanos informáticos, este tipo de programas tienen en común la capacidad
para auto replicarse, es decir, pueden contaminar con copias de sí mismos y en
algunas ocasiones mutando, la diferencia entre un gusano y un virus
informático radica en la forma de propagación, un gusano opera a través de una
red, mientras que un virus lo hace a través de ficheros a los que se añade.

A continuación detallamos, paso a paso, varias tareas habituales para la eliminación


de un virus en el ordenador, como la edición del registro y la determinación de
procesos.

1. 22.1.2 Prueba a restaurar el sistema a un punto de restauración anterior a la


aparición de los problemas, para ello sigue los pasos que se indican en el
siguiente enlace: Restauración del Sistema.
2. 22.1.3 Si de esta manera no has solucionado el problema, prueba a
deshabilitar la opción de restauración del sistema, como se indica en el
siguiente enlace: Deshabilitar la opción de restauración del sistema.
3. 22.1.4 Prueba a realizar un análisis en línea con alguna de las herramientas
antivirus que se indican a continuación: Herramientas Antivirus.
4. 22.1.5 También puedes realizar un análisis en línea con alguna de las
herramientas antiespías que se indican en el siguiente enlace: Herramientas
Antiespías
5. 22.1.6 Si detectas algún archivo que el antivirus no puede eliminar, deberás
hacerlo manualmente. Para ello puedes seguir alguna de las opciones que
se indican en el siguiente enlace: Eliminar librerías .DLL y .EXE.
6. 22.1.7 Por último, realiza una limpieza del registro de Windows. Para ello
sigue las instrucciones del siguiente enlace: Limpiar el Registro de Windows.

Capítulo 23 Software Espía


23.1.1 Los programas espías o spywares son aplicaciones que recopilan
información sobre una persona u organización sin su conocimiento. La función más
común que tienen estos programas es la de recopilar información sobre el usuario
y distribuirlo a empresas publicitarias u otras organizaciones interesadas, pero
también se han empleado en círculos legales para recopilar información contra
sospechosos de delitos, como en el caso de la piratería de software

Además pueden servir para enviar a los usuarios a sitios de internet que tienen la
imagen corporativa de otros, con el objetivo de obtener información importante.
Dado que el spyware usa normalmente la conexión de una computadora a Internet
para transmitir información, consume ancho de banda, con lo cual, puede verse
afectada la velocidad de transferencia de datos entre dicha computadora y otra(s)
conectada(s) a Internet.

Pueden tener acceso por ejemplo a: el correo electrónico y el password; dirección


IP y DNS; teléfono, país; páginas que se visitan, qué tiempos se está en ellas y con
qué frecuencia se regresa; qué software está instalado en el equipo y cuál se
descarga; qué compras se hacen por internet; tarjeta de crédito y cuentas de banco.

23.1.2 Principales Síntomas de infección son:

 23.1.4 Cambio de la página de inicio, la de error y búsqueda del navegador.


 23.1.5 Aparición de ventanas "pop-ups", incluso sin estar conectados y sin
tener el navegador abierto, la mayoría de temas pornográficos y comerciales
(por ejemplo, la salida al mercado de un nuevo producto).
 23.1.6 Barras de búsquedas de sitios como la de Alexa, Hotbar,
MyWebSearch, FunWeb, etc... Que no se pueden eliminar.
 23.1. 7Creación de carpetas tanto en el directorio raíz, como en "Archivos de
programas", "Documents and Settings" y "WINDOWS".
 23.1.8 Modificación de valores de registro.
 23.1.9 La navegación por la red se hace cada día más lenta, y con más
problemas.
 23.1.10 Es notable que tarda más en iniciar el computador debido a la carga
de cantidad de software spyware que se inicia una vez alterado el registro a
los fines de que el spyware se active al iniciarse la computadora.

 23.1.11 Al hacer clic en un vínculo y el usuario retorna de nuevo a la misma


página que el software espía hace aparecer.

 23.1.12 Botones que aparecen en la barra de herramientas del navegador y


no se pueden quitar.
 23.1.13 Aparición de un mensaje de infección no propio del sistema, así
como un enlace web para descargar un supuesto antispyware.

 23.1.14 Al acceder a determinados sitios sobre el escritorio se oculta o


bloquea tanto el panel de control como los iconos de programas.

 23.1.15 Denegación de servicios de correo y mensajería instantánea.

Capítulo 24 Precauciones recomendables


24.1.1 Cuando recibamos un mensaje de correo electrónico que hable de algo que
desconocemos (aunque nos lo haya mandado alguien que conocemos) conviene
consultar su veracidad (por ejemplo a partir de buscadores de la web, tratando de
consultar en el sitio web de la supuesta fuente de la información o en webs serias,
fiables y especializadas en el tipo de información en cuestión). Sólo si estamos
seguros de que lo que dice el mensaje es cierto e importante de ser conocido por
nuestros contactos lo reenviaremos, teniendo cuidado de poner las direcciones de
correo electrónico de los destinatarios en la casilla CCO (puede ser necesario poner
sólo nuestra dirección de email en la casilla Para) y borrando del cuerpo del mensaje
encabezados previos con direcciones de email (para facilitar la lectura es preferible
copiar la parte del cuerpo del mensaje sin los previos y pegarla en un mensaje nuevo
-o en el que aparece tras pinchar en reenviar tras borrar todo el texto, repetido a
partir de previos envíos-). Así evitaremos la propagación del spam así como la de
mensajes con virus (u otro tipo de malware), phishing o hoax. Conviene que
hagamos saber esto a nuestros contactos en cuanto nos reenvían mensajes con
contenido falso, sin utilizar la casilla CCO o sin borrar encabezados previos con
direcciones de correo electrónico.

Cuando el mensaje recibido lleve uno o varios ficheros adjuntos tendremos cuidado,
especialmente si el mensaje nos lo manda alguien que no conocemos. Hay peligro
de que los archivos contengan virus (u otro tipo de malware). Sólo los abriremos si
estamos seguros de su procedencia e inocuidad. Si, tras esto, comprobamos que
los ficheros son inofensivos e interesantes para nuestros contactos podremos
reenviarlo siguiendo las precauciones del párrafo anterior (en este caso, para que
lleguen los ficheros adjuntos es más rápido pinchar en reenviar que crear un
mensaje nuevo y volverlos a adjuntar -aunque tendremos cuidado de borrar todo el
texto que repite previos reenvíos; quizá pegando después el cuerpo principal del
mensaje recibido si tiene información de interés o relacionada con los archivos
adjuntos-).

Cuando en un mensaje sospechoso se nos ofrezca darnos de baja de futura


recepción de mensajes o de un boletín no haremos caso, es decir, no
responderemos el mensaje, ni escribiremos a ninguna dirección supuestamente
creada para tal fin (del tipo bajas@xxxxxxx.es o unsubscribe@xxxxxxx.com), ni
pincharemos sobre un enlace para ello. Si hiciéramos algo de licitado
confirmaríamos a los spammers (remitentes de correo basura) que nuestra cuenta
de correo electrónico existe y está activa y, en adelante, recibiríamos más spam. Si
nuestro proveedor de correo lo ofrece podemos pinchar en "Es spam" o "Correo no
deseado" o "Marcar como spam". Así ayudaremos a combatir el correo basura.

Capítulo 25 Phishing
25.1.1 Es un término informático que denomina un tipo de delito encuadrado dentro
del ámbito de las estafas, y que se comete mediante el uso de un tipo de ingeniería
social caracterizado por intentar adquirir información confidencial de forma
fraudulenta (como puede ser una contraseña o información detallada sobre tarjetas
de crédito u otra información bancaria). El estafador, conocido como phisher, se
hace pasar por una persona o empresa de confianza en una aparente
comunicación oficial electrónica, por lo común un correo electrónico, o algún sistema
de mensajería instantánea o incluso utilizando también llamadas telefónicas.

Dado el creciente número de denuncias de incidentes relacionados con el phishing


se requieren métodos adicionales de protección. Se han realizado intentos con leyes
que castigan la práctica, campañas para prevenir a los usuarios y con la aplicación
de medidas técnicas a los programas.

Capítulo 26 Contraseñas seguras


26.1.1 En el control del acceso para todo, se realiza una relación entre seguridad y
conveniencia. Es decir, si algún recurso está protegido por una contraseña,
entonces la seguridad se incrementa con la consecuente pérdida de conveniencia
para los usuarios. La cantidad de seguridad es inherente dada una política para
contraseñas en particular que es afectada por diversos factores que se
mencionarán a continuación. Sin embargo, no existe un método que sea el mejor
para definir un balance apropiado entre seguridad y conveniencia.

Algunos sistemas protegidos por contraseñas plantean pocos o ningún riesgo a los
usuarios si éstos se revelan, por ejemplo, una contraseña que permita el acceso a
la información de una Sitio web gratuito. Otros plantean un modesto riesgo
económico o de privacidad, por ejemplo, un password utilizado para acceder al e-
mail, o alguna contraseña para algún teléfono celular. Aún así, en otras
situaciones se pueden tener consecuencias severas si la contraseña es revelada,
tales como las usadas para limitar el acceso de expedientes sobre tratamientos del
SIDA o el control de estaciones de energía.

Estudios en la producción de sistemas informáticos han indicado por décadas


constantemente que cerca de 40% de todas las contraseñas elegidas por usuarios
se conjeturan fácilmente.

 26.1.2 Muchos de los usuarios no cambian la contraseña que viene


predeterminada en muchos de los sistemas de seguridad. Listas de estas
contraseñas están disponibles en el Internet.
 26.1.3 Una contraseña puede ser determinada si un usuario elige como
contraseña una pieza de información personal que sea fácil de descubrir (por
ejemplo: número de ID de estudiante, el nombre del novio/a, el día de
cumpleaños, número telefónico, etc.). Los datos personales sobre individuos
están ahora disponibles en diferentes fuentes, muchas de ellas están en
línea, y pueden ser obtenidas frecuentemente por alguien que use técnicas
de ingeniería
social, como actuar como un trabajador social que realiza encuestas.
 26.1.4 Una contraseña es vulnerable si puede ser encontrada en una lista.
Los diccionarios (frecuentemente de forma electrónica) están disponibles en
muchos lenguajes, y existen listas de contraseñas comunes.
 26.1.5 En pruebas sobre sistemas en vivo, los ataques de diccionarios son
rutinariamente acertados, por lo que el software implementado en este tipo
de ataques ya se encuentra disponible para muchos sistemas. Una
contraseña muy corta, quizás elegida por conveniencia, es más vulnerable si
un hacker puede obtener la versión criptográfica de la contraseña. Las
computadoras son en la actualidad lo suficientemente rápidas para intentar
todas las contraseñas en orden alfabético que tengan menos de 7 caracteres.

26.1.6 Una contraseña débil sería una que fuese muy corta o que fuese la
predeterminada, o una que pudiera se adivinada rápidamente al buscar una serie
de palabras que es posible encontrar en diccionarios, nombres propios, palabras
basadas en variaciones del nombre del usuario. Una contraseña fuerte debe ser
suficientemente larga, al azar, o producible solo por el usuario que la eligió, así, el
'adivinar' requerirá un largo tiempo. La cantidad de tiempo juzgada para ser
'demasiado larga' variará de acuerdo al atacante, sus recursos, la facilidad con la
que la contraseña
se pueda descubrir, y la importancia de esta para el atacante. Por lo tanto, una
contraseña de un estudiante quizás no valga la pena para invertir más de algunos
segundos en la computadora, mientras que la contraseña para acceder al control
de una transferencia de dinero del sistema de un banco puede valer varias semanas
de trabajo en una computadora. ‘Fuerte' y 'débil' tienen significado solamente con
respecto a tentativas de descubrir la contraseña de un usuario, ya sea por una
persona que conoce al usuario, o una computadora que tratara de usar millones de
combinaciones. En este contexto, los términos pueden tener una precisión
considerable. Pero nótese que una contraseña 'fuerte' en este sentido puede ser
robada, truqueada o extraída del usuario, ya sea mediante la extracción del historial
de un teclado, grabada mediante aparatos de comunicación, o copiada de notas
dejadas por olvido.Ejemplos de contraseñas débiles incluyen las siguientes:
administrador, 1234, "nombre del usuario", xx/xx/xx - fechas importantes, ya que la
mayoría de estas se encuentran en o bases de datos o diccionarios (dictionary
search attack). Ejemplos de contraseñas fuertes serían las siguientes:
tastywheeT34, partei@34!,y #23kLLflux. Estas contraseñas son largas y usan
combinaciones de letras mayúsculas y minúsculas, de números y de símbolos.No
son fácilmente encontrados en listas de contraseñas y son suficientemente largas
para provocar que una búsqueda burda sea impráctica en la mayoría de las
circunstancias. Nótese que algunos sistemas no permiten símbolos como #, @ y !
en contraseñas y son más difíciles de encontrar en algunos teclados diseñados para
ciertos países. En estos casos, agregar uno o dos caracteres (letra o número) puede
ofrecer una seguridad equivalente. También nótese que, al haberse publicado estos
ejemplos de contraseñas, estos ya no son buenas opciones: ejemplos de
discusiones públicas sobre contraseñas obviamente son buenos candidatos para
incluirse en las listas de diccionarios para atacar sistemas.El método más efectivo
para generar contraseñas es seleccionar suficientes caracteres al azar, aunque este
tipo de contraseñas son las más difíciles de recordar. Algunos usuarios desarrollan
frases o palabras compuestas que tienen letras al azar como iniciales de varias
palabras. Otra manera de elaborar contraseñas al azar que sean más memorables
es usar palabras al azar o sílabas en lugar de letras al azar.

Memorias personales son recomendables en ocasiones, es decir, cosas que sean


memorables a una persona en particular, pero no para otras, por ejemplo: la
contraseña yt21cvpppv, es difícil de recordar, pero se deriva de la frase "Yo tenía
21 cuando visite París por primera vez", posiblemente fácil de recordar. Sin
embargo, si la primera visita a Paris fue un hecho muy trascendente para un usuario
en particular, puede ser posible que la contraseña se adivine del conocimiento del
usuario, y por lo tanto esta no sería una opción sensata para utilizarse como
contraseña. Según BruceSchneier la contraseña más utilizada es password1.

Capítulo 27 Seguridad en Redes Wireless (Wi-Fi)


27.1.1 Las redes Wi-Fi poseen una serie de ventajas, entre las cuales podemos
destacar:

 27.1.2 Al ser redes inalámbricas, la comodidad que ofrecen es muy superior


a las redes cableadas porque cualquiera que tenga acceso a la red puede
conectarse desde distintos puntos dentro de un rango suficientemente amplio
de espacio.
 27.1.3 Una vez configuradas, las redes Wi-Fi permiten el acceso de múltiples
ordenadores sin ningún problema ni gasto en infraestructura, no así en la
tecnología por cable.
 27.1.4 La Wi-Fi Alliance asegura que la compatibilidad entre dispositivos con
la marca Wi-Fi es total, con lo que en cualquier parte del mundo podremos
utilizar la tecnología Wi-Fi con una compatibilidad total. Esto no ocurre, por
ejemplo, en móviles.

Pero como red inalámbrica, la tecnología Wi-Fi presenta los problemas intrínsecos
de cualquier tecnología inalámbrica. Algunos de ellos son:

 27.1.5 Una de las desventajas que tiene el sistema Wi-Fi es la pérdida de


velocidad en comparación a una conexión con cables, debido a las
interferencias y pérdidas de señal que el ambiente puede acarrear.
 27.1.6 La desventaja fundamental de estas redes existe en el campo de la
seguridad.
 27.1.7 Hay que señalar que esta tecnología no es compatible con otros tipos
de conexiones sin cables como Bluetooth, GPRS, UMTS, etc.

Un muy elevado porcentaje de redes son instaladas sin tener en consideración la


seguridad convirtiendo así sus redes en redes abiertas (o muy vulnerables a los
crackers), sin proteger la información que por ellas circulan. Uno de los puntos
débiles (sino el gran punto débil) es el hecho de no poder controlar el área que la
señal de la red cubre, por esto es posible que la señal exceda
el perímetro del edificio y alguien desde afuera pueda visualizar la red y esto es sin
lugar a dudas una mano para el posible atacante.

27.1.8 Existen varias alternativas para garantizar la seguridad de estas redes. Las
más comunes son:
 27.1.9 Utilización de protocolos de cifrado de datos para los estándares Wi-
Fi como el WEP y el WPA, que se encargan de codificar la información
transmitida para proteger su confidencialidad, proporcionados por los propios
dispositivos inalámbricos
 27.1.10 WEP, cifra los datos en su red de forma que sólo el destinatario
deseado pueda acceder a ellos. Los cifrados de 64 y 128 bits son dos niveles
de seguridad WEP. WEP codifica los datos mediante una “clave” de cifrado
antes de enviarlo al aire.
 27.1.11 WPA: presenta mejoras como generación dinámica de la clave de
acceso. Las claves se insertan como de dígitos alfanuméricos, sin restricción
de longitud
 27.1.12 IPSEC (túneles IP) en el caso de las VPN y el conjunto de estándares
IEEE 802.1X, que permite la autenticación y autorización de usuarios.
 27.1.13 Filtrado de MAC, de manera que sólo se permite acceso a la red a
aquellos dispositivos autorizados.
 27.1.14 Ocultación del punto de acceso: se puede ocultar el punto de acceso
(Router) de manera que sea invisible a otros usuarios.
 27.1.15 El protocolo de seguridad llamado WPA2 (estándar 802.11i), que es
una mejora relativa a WPA. En principio es el protocolo de seguridad más
seguro para Wi-Fi en este momento. Sin embargo requieren hardware y
software compatibles, ya que los antiguos no lo son.

Existen algunos programas capaces de capturar paquetes, trabajando con su tarjeta


Wi-Fi en modo promiscuo, de forma que puedan calcular la contraseña de la red y
de esta forma acceder a ella. Las claves de tipo WEP son relativamente fáciles de
conseguir con este sistema. La alianza Wi-Fi arregló estos problemas sacando el
estándar WPA y posteriormente WPA2, basados en el grupo de trabajo 802.11i. Las
redes protegidas con WPA2 se consideran robustas dado que proporcionan muy
buena seguridad. Sin embargo, no existe ninguna alternativa totalmente fiable, ya
que todas ellas son susceptibles de ser vulneradas.

Capítulo 28 Copias de Seguridad, Backus y


Redundancia
28.1.1 Hoy en día los datos almacenados en los sistemas informáticos son un
elemento imprescindible para el funcionamiento de cualquier empresa. Mantenerlos
seguros y fácilmente recuperables es una tarea importante a no menospreciar. Es
fundamental poder acceder a los datos siempre que sea necesario, y la única forma
de asegurar con un porcentaje aceptable de seguridad que nuestros datos estarán
disponibles es proveer algún tipo de redundancia para estos datos. Existen
diferentes niveles para asegurar una buena replicación de los datos.

Capítulo 29 Sistemas de Backus


29.1.1Los sistemas de backup son una necesidad inexcusable hoy en día en
cualquier empresa que maneje una cantidad de datos medianamente grande.
Teniendo esto en cuenta y suponiendo que disponemos de un sistema de backup
able debemos Capítulo tener en cuenta otra serie de consideraciones. La primera
es la seguridad física de los Backus y la mejor solución que se aconseja es mantener
los Backus lejos de los sistemas que contienen los datos de los que hemos hecho
backup. De nada sirve hacer Backus si cuando los necesitamos no funcionan.

Debemos comprobar que los Backus que hemos realizado pueden ser restaurados
correctamente, o estaremos con ando en un sistema que no podemos asegurar que
funciona correctamente. La seguridad física de las cintas o dispositivos de backup
debe ser una preocupación y por tanto se debe tener previsto cualquier incidente
que se pueda producir, como incendios, terremotos, robos y así cualquier evento
que se nos pueda ocurrir.

El sistema más eficaz para mantener los Backus seguros es mantenerlos fuera de
la oficina, o al menos mantener una copia de estos, ya sea en otro edificio o en un
centro de almacenamiento de backups. Estos últimos son centros que proporcionan
almacenamiento de las cintas de backup con todas las medidas de seguridad física
imaginables y que son una buena alternativa a el mantenimiento de los Backus
cerca de las máquinas de las que se ha hecho backup.

Puede contratarse uno de estos servicios y mandar los backups o copias de estos
a uno de estos servicios, que velará por la seguridad de nuestros backups.

Como regla general deberemos mantener al menos una copia de los backups
principales fuera del edificio, o incluso mantener fuera todos los backups. Medidas
como el almacenamiento de los backups en el domicilio particular son
contraproducentes, pues no suelen tener ni las medidas de seguridad necesarias ni
la capacidad de mantener un entorno óptimo para los Backus.

Capítulo 30 Sistemas de Almacenamiento Externo:


Discos y Memorias
30.1.1Los sistemas de almacenamiento USB son un punto incomodo en la
seguridad informática de una oficina. Para empezar tenemos lo que puede venir en
ellos: virus, software pirateado, todo tipo de software o datos poco recomendables
para un lugar de trabajo, juegos, etc. Luego tenemos todo lo que se puede llevar en
ellos: datos de la empresa, software cuya licencia ha sido adquirido por la empresa,
software bajado de Internet, etc.

Si lo que más nos preocupa (tenemos antivirus, Firewall, control de software, etc)
es que el usuario pueda replicar datos y sacarlos de la empresa sólo podemos hacer
dos cosas, la primera es mantener los datos lejos del usuario, la segunda es
inhabilitar los puertos USB y los sistemas serie o paralelo, ya sea mediante métodos
software o hardware.

La recomendación es mantener los datos en los servidores y que los usuarios


trabajen sobre los datos de forma remota, mantener los datos alejados del usuario
malo y así evitar que estos puedan ser replicados. Todos los demás sistemas son
útiles pero no e caces. Se pueden quitar las grabadoras de CDs, las disqueteras,
incluso evitar el uso de los puertos USB o similares, pero un usuario decidido a
sacar los datos de su máquina, ya sea por desconocimiento, para facilitar su
trabajo o por simple malicia conseguirá hacerlo.

Capítulo 31 Los IDS


31.1.1Wireshark

31.1.2 ¿Qué es?


Se trata de un potente sniffer de red de software libre heredero de Ethereal, (¿este
os suena?), que nos permite capturar y monitorizar todos los paquetes de red que
pasan por nuestro equipo con el solo hecho de poner nuestra tarjeta de red a
escuchar en modo promiscuo, es decir, diciéndole a nuestra tarjeta que capture todo
el tráfico que pase por ella. A diferencia de TCPDump (otro analizador de
protocolos) nos ofrece una amigable interfaz gráfica con muchas opciones para
filtrar y buscar la información.

31.1.3 ¿Para qué nos sirve?

Tener la información detallada que nos facilita este programa nos permite poder
analizar el tráfico que pasa por nuestra red y así poder solucionar o incluso prevenir
los posibles problemas que puedan surgir. Por ejemplo, imaginaros que os va muy
lenta la conexión a Internet y no sabéis porque, con este sniffer podréis observar si
en vuestro equipo se está generando tráfico no deseado (p. ej. está infectado por
un troyano). También se puede emplear para el aprendizaje de los diferentes
protocolos de red, ya que nos permite observar de forma detalla las cabeceras de
los protocolos que hemos estudiado teóricamente y con ello ayudarnos a
comprender la utilidad y la función de cada uno de sus campos. Otra posibilidad, es
utilizarlo de modo delictivo con la intención de robar información de terceros, por
ejemplo, para intentar conectarse a una red Wi-Fi protegida con WEP. Para esto no
se debe hacer. Otro sistema de detención de intrusos es el Snort

Capítulo 32 SNORT
32.1.1 Detector de intrusiones ligero para redes

Para entender mejor a la teoría planteada sobre la descripción de SNORT, es un


programa multiplataforma diseñado para analizar el tráfico que circula a través de
una red, compararlo con una serie de patrones predeterminados, y generar las
alarmas correspondientes, ahora que ya comprendimos que es SNORT, vamos a
mostrar el funcionamiento de la aplicación
32.1.2 Utilidad

SNORT es un programa capaz de cumplir las siguientes funciones:

 32.1.3 Escuchar en modo promiscuo en una interfaz de red, es decir,


atendiendo tanto a los paquetes dirigidos a dicho interfaz como a los que no
le correspondería escuchar, y mostrar o registrar localmente en el disco duro
dicho tráfico. En ese modo de operación se asemeja al programa “tcpdump”
y es de hecho muy similar él, hasta el punto de que comparte el sistema de
registro en el disco de tráfico.

 32.1.4 Escuchar en modo de alerta en un interfaz de red, para atender a una


serie de reglas, lo cual puede servir para analizar, depurar el tráfico y
protocolos de red.
 32.1.5 Como herramienta para el análisis avanzado del tráfico de red,
obviamente también en modo promiscuo, y utilizando una base de reglas
sofisticada para detectar y avisar sobre tráfico no deseado que esté
circulando por nuestra red.

32.1.6 SNORT no se limita exclusivamente ala protocolo IP/TCP/UDP/ICMP,


aunque sobre salga su especialización en ellos. También es capaz de escuchar
otros protocolos como Ethernet, decnet, lat entre otros. Para ser capaz de filtrar y
analizar el tráfico lo mejor posible, snort lleva una serie de módulos que le permite:

 Recomponer el tráfico fragmentado


 Recomponer las cadenas de caracteres enviadas a través de servicios
como telnet, http, pop3 e imap, lo que le permite explorar el tráfico desde
el nivel de aplicación y no sólo del nivel de red
 Entender el tráfico http, como p.ej. la expansión de caracteres " " = "%20"
 Reconocer el tráfico generado, independientemente de los puertos que
use
 Detectar escaneos remotos en busca de puertos abiertos

Además, está diseñado de modo que sea fácil incorporarle nuevos módulos para
expandir su funcionalidad.

Capítulo 33 Entorno
33.1.1 Snort es un programa escrito bajo licencia Gnu GPL, por lo que es libremente
distribuible. Al estar escrito en C y con todo el código fuente liberado, funciona en
múltiples plataformas como Linux, Windows, Solaris y MacOS X. Esto le diferencia
de los sistemas integrados comerciales, cuyo precio normalmente es prohibitivo, y
que requieren de hardware especializado. Snort funciona bien en cualquier PC
doméstico, empresarial, siempre y cuando no se le exijan velocidades de proceso
demasiado elevadas para la CPU de la máquina. Hay muchas empresas que usan
SNORT ya que es más fácil detectar intrusiones, es elegida por eficacia, además
de ser ligero.

Así pues, snort se puede instalar en casi cualquier ordenador u ordenadores de


nuestra red, afectando muy poco al funcionamiento de ésta, mientras que permite
detectar fácilmente el tráfico sospechoso. Su pequeño tamaño, licencia abierta y
código multiplataforma le convierten en una herramienta útil para todos los
administradores de red. Esa es la razón por la que se le da el calificativo de ligero
(lightweight), en comparación ls grandes NIDS comerciales.

33.1.2 Uso empresarial práctico

33.1.3 La experiencia laboral para las personas que se dedican a la ciberseguridad


en las empresas hablan muy bien de SNORT ya que se situá en el ámbito del
Firewall y ala la salida de cualquier Router antes de ordenadores de dicha empresa.
Este programa es compatible con cualquier sistema operativo por lo que no tiene
muchos problemas a la hora de ejecutar. Pasa a estar filtrado un gran número de
puertos con el firewall que estén utilizando. Estos son algunos ejemplos de alerta
de intrusos:

 33.1.4 Test de existencia de agujeros remotos como el BackOrifice:


[**] IDS397/trojan_trojan-BackOrifice1-scan [**]
08/02-23:07:10.547650 63.197.54.27:2517 -> 192.168.1.70:31337
UDP TTL:110 TOS:0x0 ID:8344 IpLen:20 DgmLen:47
Len: 27

[**] IDS397/trojan_trojan-BackOrifice1-scan [**]


07/28-14:00:31.343145 62.2.142.36:4406 -> 192.168.1.70:31337
UDP TTL:111 TOS:0x0 ID:13682 IpLen:20 DgmLen:47
Len: 27

 33.1.5 Tráfico poco común:


[**] [1:0:0] IDS7/misc_SourcePortTraffic-53-tcp [**]
[Classification: suspicious miscellaneous traffic] [Priority: 1]
08/23-07:51:51.967810 210.183.235.129:53 -> 192.168.0.253:53
TCP TTL:241 TOS:0x0 ID:19942 IpLen:20 DgmLen:40
******S* Seq: 0x41CA6D73 Ack: 0x4B3AE2CE Win: 0x28 TcpLen: 20
[Xref => http://www.whitehats.com/info/IDS7]
33.1.6 Hay que tener en cuenta las falsas alarmas, según lo específico que sea el
patrón de tráfico que hayamos detectado. Cuando se utilizan puertos altos
aleatorios, como usan muchos protocolos a la hora de transmitir datos.

A la hora de generar alarmas, he utilizado un programa externo a snort para generar


un informe en formato HTML sobre el tráfico sospechoso encontrado por snort. El
programa en concreto que he utilizado es “snortnarf”, un programa gratuito escrito
en Perl que se puede descargar de la web de snort. Existen multitud de programas
de este tipo, todos ellos bien referenciados en www.snort.org.
Capítulo 34 Ejemplos de reglas de snort
34.1.1 Las reglas de snort se pueden crear a mano o descargarlas de internet. Para
casos específicos se pueden forjar a medida, pero en el caso de querer utilizar snort
para la detección general de intrusiones, existen básicamente dos sitios en internet
donde descargar ficheros muy completos detallando tráfico indeseable.

- www.snort.org, la página oficial del programa, que incluye un conjunto de reglas


bastante completo

- www.whitehats.com, página web dedicada a noticias sobre hacking y herramientas


gratuitas para la seguridad, tiene una base de datos bastante grande sobre los
distintos patrones de tráfico utilizados en herramientas NIDS. De ahí se pueden
descargar reglas actualizadas tanto para snort como para otros programas
similares.

34.1.2 El tipo de tráfico detectable con estas reglas incluye:

 Intentos de aprovecharse de desbordamientos de pila de los distintos


demonios que proveen servicios y pueden comprometer a una máquina.
 Escaneos de puertos en busca de protocolos abiertos. No sólo podemos
configurar la sensibilidad de la alarma, sino que avisa siempre de intentos de
conexión llamados "stealth", en los que no se llega a completar la conexión
TCP pero si que queda revelado si el puerto está abierto o cerrado.
 Abusos de CGI de páginas web, como los famosos codered y nimda que han
estado circulando recientemente por la web.
 Intentos de conexión al protocolo samba de Windows, en busca de recursos
abiertos, impresoras, contraseñas, y toda la parafernalia conocida de los
generalmente inseguros Windows y su protocolo de compartición de ficheros.
 Análisis de respuestas a diferentes patrones de tráfico, en busca de
identificar el sistema operativo de una máquina. Con esto los "crackers"
intentan saber qué sistema operativo usa una máquina para poder refinar
posteriormente sus ataques. Varias herramientas, como "nmap" utilizan
estas técnicas, y snort es capaz de detectar la mayoría de los intentos de
identificación de sistema operativo.

Capítulo 35 Instalación
35.1.1 Snort se instala muy fácilmente en los distintos sistemas operativos UNIX.
En Debían, no hay más que buscar el paquete "Snort"

apt-get install snort

Aunque debido a la búsqueda de estabilidad de Debían, puede compensar bajarse


las últimas fuentes del programa en su página web. Otras versiones de UNIX,
también incluyen paquetes preforjados, como los RPM de Redhat, y paquetes en
FreeBSD y OpenBSD. Aparte, compilar el programa es muy sencillo, ya que sus
fuentes no ocupan más que unos pocos cientos de Kb.

Snort suele instalarse en /usr/bin o /usr/local/bin. Incluye lógicamente sus


documentos de "man" y algunos ficheros asociados.

En su modo de funcionamiento normal, Snort se ejecuta como:

/usr/local/bin/snort -A full -c /etc/snort.conf -i eth0

En este caso apunta toda la información posible sobre los paquetes que haya
encontrado, en base a las reglas encontradas en /etc/snort.conf, y escucha en el
interfaz eth0. Una vez arrancado, Snort anota los paquetes sospechosos que ha
encontrado de diferentes formas:

a) Normalmente genera ficheros en el directorio /var/log/snort. El fichero "alert"


incluye los distintos patrones de tráfico encontrados. El fichero "portscan"
incluye información sobre los intentos de escaneo de puertos encontrado, y,
si se le ha dicho a snort que guarde los paquetes sospechosos encontrados
(con p.ej. -A full) crea un árbol de directorios según la numeración IP de los
paquetes de origen.
b) También puede generar alarmas vía syslog.
c) Enviar la información a través de sockets UNIX
d) Enviarla a máquinas Windows vía mensajes Winpopup y samba
e) Guardar la info en bases de datos (Mysql/PostgreSQL/Oracle/ODBC) o en
formato XML.

Todos estos distintos modos de avisar del tráfico encontrado permiten a los
administradores de sistema actuar en consecuencia con el modelo de seguridad de
su red. A la hora personalizar el fichero snort.conf, que normalmente nos habremos
bajado o de snort.org o de whitehast.com, configuramos distintos parámetros que
son mayoritariamente autoexplicativos, se pueden descargar nuevas reglas desde
la página oficial y configurarla según nuestra necesidad de seguridad. Para una
empresa es muy importante estar atento a las nuevas actualizaciones que contienen
mejoras

Capítulo 36 Uso como capturado de paquetes


36.1.1 Snort se puede también utilizar para capturar paquetes, de modo parecido a
tcpdump. El funcionamiento es casi idéntico a dicho programa y queda fuera del
ámbito de éste trabajo, pero podemos citar algún ejemplo de utilización:

Snort -i eth0 -b -l logdir

Copiará toda la información que escuche el interfaz eth0 en formato binario-tcpdump


a un fichero llamado snort-“dia”@”hora”.log del directorio “logdir”.Posteriormente se
puede analizar el tráfico con el mismo snort, o con otras herramientas como
ethereal, tcpshow, o similares. Un sitio web muy interesante donde han hecho uso
de snort de este modo es http://project.honeynet.org/, donde se ofrece a los
visitantes web practicar y analizar ataques externos, todos ellos capturados
normalmente en formato tcpdump. Snort puede procesar la información (con la
opción –r “fichero tcpdump”) y mostrar el nivel de aplicación decodificado (opción-
d). Igualmente se puede filtrar selectivamente que tráfico capturamos:

Snort -i eth0 -b -l logdir host 192.168.1.70

Sólo capturará la información procedente o destinada a la IP 192.168.1.70. El


filtrado de información de este modo es muy versátil y comparte la sintaxis de
tcpdump, pudiendo determinar puertos, protocolos, direcciones de origen y/o
destino, etc.

Capítulo 37 Ataques password cracking


37.1.1 Una contraseña que sea de fácil de recordar es generalmente fácil de
adivinar. Las contraseñas que son difíciles de recordar pueden reducir la seguridad
de un sistema, debido a que los usuarios podrían tener que escribir o
electrónicamente almacenar la contraseña, hacer el restablecimiento de
contraseñas con frecuencia y tener más probabilidades de volver a utilizar la misma
contraseña. Los requisitos más estrictos para seguridad de las contraseñas es,
“Tener una mezcla de letras y dígitos en mayúsculas y minúsculas" o "cambiar
mensualmente". Usar contraseñas basadas en la primera letra de cada palabra de
una frase es igual de fácil de recordar que una mala contraseña y al mismo tiempo
tan difícil de descifrar como una generada aleatoriamente. Combinar palabras sin
relación es otro buen método. Un algoritmo diseñado personalmente para generar
contraseñas funciona también.

Capítulo 38 Prevención ataques password cracking


38.1.1 El mejor método para prevenir que alguien descifre las contraseñas es
asegurar que los hackers no puedan acceder hasta el hash de estas. Por ejemplo,
en el sistema operativo Unix, el hash de las contraseñas se almacenan inicialmente
en un archivo de acceso público / etc / password. Por otro lado, en Unix moderno (y
similares) sistemas, se almacenan en el archivo / etc / shadow, que es accesible
sólo a través de programas que tienen "privilegios" de sistema. Esto hace que sea
más difícil para un usuario malicioso obtener las contraseñas con algoritmos hash.
Desafortunadamente, muchos protocolos de red común transmiten las contraseñas
en texto plano o utilizan esquemas de desafío/respuesta débiles.

Para poder contar con buena contraseña es necesario contar con los
siguientes requerimientos:
Ejemplo:
 Usar caracteres en mayúscula. MpbfuBH210qmrmaF
 Usar caracteres minúsculas.
 Usar combinaciones numéricas.
 Usar caracteres especiales.

Capítulo 39 Técnica de ataque de diccionario


Un ataque de diccionario es un método de cracking que consiste en intentar
averiguar una contraseña probando todas las palabras del diccionario. Este tipo de
ataque suele ser más eficiente que un ataque de fuerza bruta, ya que muchos
usuarios suelen utilizar una palabra existente en su lengua como contraseña para
que la clave sea fácil de recordar, lo cual no es una práctica recomendable. Los
ataques de diccionario tienen pocas probabilidades de éxito con sistemas que
emplean contraseñas fuertes con letras en mayúsculas y minúsculas mezcladas con
números (alfanuméricos) y con cualquier otro tipo de símbolos. Sin embargo, para
la mayoría de los usuarios recordar contraseñas tan complejas resulta complicado.
Existen variantes que comprueban también algunas de las típicas sustituciones
(determinadas letras por números, intercambio de dos letras, abreviaciones), así
como distintas combinaciones de mayúsculas y minúsculas.

Capítulo 40 Prevención de los ataques de diccionario


1- 40.1.1 Combinar palabras de dos o más idiomas en las claves de la
contraseña.
2- 40.1.2 Incluir números en la construcción de las claves (combinación
alfanumérica).

3- 40.1.3 Incluir caracteres especiales (!-_#.) para aumentar aún más la


seguridad

4- 40.1.4 Usar claves que contengan más de 10 caracteres (para dificultar


también la posibilidad de un ataque de fuerza bruta) y obtener mayor
protección.

5- 40.1.5 Configurar, de ser posible, un número máximo de intentos de


acceso a nuestros servicios con clave, el sistema debe bloquearse luego de
un número predeterminado de intentos fallidos además de podemos obtener
un registro de los intentos por acceder a nuestras cuentas.

6- 40.1.6 Escribir las palabras de las claves con errores ortográficos (que no
sean obvios como las sustituciones v por b de cada palabra o frase que
usaremos).
7- 40.1.7 Insertar doble consonante en algunas sílabas, por ejemplo en lugar
de escribir MiCamisaVerde sustituir por MiCcammisaVerdde, esta técnica
aumenta la longitud de la contraseña y, manteniendo una estructura más o
menos fácil de recordar, dificulta el ataque por diccionario.

40.1.8 Ejemplo de contraseña segura por


ataque de diccionario
Una práctica bastante habitual para usar contraseñas que sean fáciles de recordar
y a la vez no sean vulnerables a los ataques de diccionario es tomar las iniciales de
todas las palabras de una oración que tenga algún significado especial para
nosotros. Por ejemplo, si tomamos la frase "Mi primera bicicleta fue una BH210
que me regaló mi abuelo Francisco", la contraseña resultante sería la
siguiente: MpbfuBH210qmrmaF. Esta contraseña mezcla letras y números, que
con sus 16 caracteres es relativamente larga, y sería bastante difícil de romper
mediante un ataque de fuerza bruta, suponiendo que el algoritmo de cifrado elegido
sea lo suficientemente seguro. Sin embargo, para el usuario en cuestión
seguramente sea bastante fácil de recordar.

Capítulo 41 Ataques online pasivos – Wire Sniffing


El Wire Sniffing es escuchar en la red para ver si se transmite una contraseña, una
herramienta de olfateador de paquetes rara vez se usa para un ataque. Esto se
debe a que un sniffer solo puede funcionar en un dominio de colisión común. Los
dominios comunes de colisión no están conectados por un interruptor o puente.
Todos los hosts en esa red tampoco están conmutados o puenteados en el
segmento de red. A medida que los rastreadores reúnen paquetes en la capa de
enlace de datos, pueden atrapar todos los paquetes en la LAN de la máquina que
ejecuta el programa sniffer. Este método es relativamente difícil de perpetrar y es
demasiado complicado. Los datos capturados pueden incluir contraseñas enviadas
a sistemas remotos como telnet, FTP, sesiones rlogin y correo. Si el atacante es
capaz de espiar logins de Windows, este enfoque puede ahorrar mucho trabajo de
búsqueda aleatoria.

Capítulo 42 Técnicas de detección de sniffers


42.1.1 El Test DNS
En este método, la herramienta de detección en sí misma está en modo promiscuo.
Creamos numerosas conexiones TCP/IP falsas en nuestro segmento de red,
esperando un sniffer pobremente escrito para atrapar esas conexiones y resolver la
dirección IP de los inexistentes host. Algunos sniffers realizan búsquedas inversas
DNS en los paquetes que capturan. Cuando se realiza una búsqueda inversa DNS,
una utilidad de detección de sniffers huele la petición de las operaciones de
búsqueda para ver si el objetivo es aquel que realiza la petición del host inexistente.
42.1.2 El Test del Ping
Este método confía en un problema en el núcleo de la máquina receptora. Podemos
construir una petición tipo "ICMP echo" con la dirección IP de la máquina
sospechosa de hospedar un sniffer, pero con una dirección MAC deliberadamente
errónea. Enviamos un un paquete "ICMP echo" al objetivo con la dirección IP
correcta, pero con una dirección de hardware de destino distinta. La mayoría de los
sistemas desatenderán este paquete ya que su dirección MAC es incorrecta. Pero
en algunos sistemas Linux, NetBSD y NT, puesto que el NIC está en modo
promiscuo, el sniffer analizará este paquete de la red como paquete legítimo y
responderá por consiguiente. Si el blanco en cuestión responde a nuestra petición,
sabremos que está en modo promiscuo. Un atacante avanzado puede poner al día
sus sniffers para filtrar tales paquetes para que parezca que el NIC no hubiera
estado en modo promiscuo.

42.1.3 El Test ICMP


Ping de Latencia. En éste método, hacemos ping al blanco y anotamos el Round
Trip Time (RTT, retardo de ida y vuelta o tiempo de latencia) Creamos centenares
de falsas conexiones TCP en nuestro segmento de red en un período muy corto.
Esperamos que el sniffer esté procesando estos paquetes a razón de que el tiempo
de latencia incremente. Entonces hacemos ping otra vez, y comparamos el RTT
esta vez con el de la primera vez. Después de una serie de tests y medias, podemos
concluir o no si un sniffer está realmente funcionando en el objetivo o no.

Capítulo 43 Ataques online pasivos – MITM


Cuando dos partes se comunican, el ataque de hombre en el medio puede tener
lugar. En este caso, un tercero intercepta la comunicación entre las dos partes,
asegurando a las dos partes que se están comunicando entre sí. Mientras tanto, el
tercero altera los datos o las escuchas y pasa los datos a lo largo. Para llevar a cabo
esto, el hombre en el medio tiene que oler de ambos lados de la conexión
simultáneamente. Este tipo de ataque a menudo se encuentra en las tecnologías de
telnet e inalámbricas. No es fácil implementar tales ataques debido a los números y
la velocidad de la secuencia TCP. Este método es relativamente difícil de perpetrar
y puede romperse a veces al invalidar el tráfico. En un ataque de repetición (Relay),
los paquetes se capturan usando un sniffer. Después de extraer la información
relevante, los paquetes se vuelven a colocar en la red. Este tipo de ataque se puede
utilizar para reproducir transacciones bancarias u otros tipos similares de
transferencia de datos con la esperanza de replicar o cambiar las actividades, como
depósitos o transferencias.

43.1.1 Cómo protegerte de un ataque


MITM
43.1.2 Usa siempre HTTPS: muchos sitios web ofrecen desde hace tiempo
comunicaciones cifradas a través de SSL, siempre que visites una página asegúrate
de que la dirección muestre HTTPS en lugar de HTTP, y si no lo hace, escríbelo
manualmente.

43.1.3 Activar la verificación de dos pasos: muchos servicios han comenzado a


ofrecer verificación de dos factores en sus servicios para aumentar la seguridad del
acceso a las cuentas de usuario.

43.1.4 Usar una red VPN: de esta manera la conexión se cifra entre un cliente VPN
y un servidor VPN, estableciéndose a través de un túnel de comunicación seguro.
Capítulo 44 Ataques online activos – Password
guessing
Con la ayuda de metodologías de ataque de diccionario, un intruso prueba muchos
medios para adivinar su contraseña. En esta metodología, un atacante toma un
conjunto de palabras y nombres de diccionario, y hace todas las combinaciones
posibles para obtener su contraseña. El atacante realiza este método con
programas que adivinan cientos o miles de palabras por segundo. Esto les permite
probar muchas variaciones: palabras hacia atrás, mayúsculas diferentes, agregar
un dígito al final, etc.

44.1.1 Algunas de las consideraciones para adivinar contraseñas son:


 Toma mucho tiempo dar con la contraseña correcta
 Requiere grandes cantidades de ancho de banda de red
 Se puede detectar fácilmente

Capítulo 45 Ataque por Inyección de Hash


Un ataque de inyección de hash es el concepto de inyectar un hash comprometido
en una sesión local y luego usar el hash para autenticarse en los recursos de la red.
Este ataque se realiza con éxito en cuatro pasos:

1. 45.1.1 El hacker compromete una estación de trabajo/servidor utilizando un


exploit local/remoto.

2. 45.1.2 El hacker extrae hashes registrados y encuentra un hash de cuenta de


administrador de dominio conectado.

3. 45.1.3 Los hackers usan el hash para iniciar sesión en el controlador de dominio.

4. 45.1.4 El hacker extrae todos los hashes en la base de datos de Active Directory
y ahora puede satirizar cualquier cuenta en el dominio.
45.1.5 Recomendaciones para un ataque
de inyección de hash
No abras correos electrónicos que no conoces
A menos de que estés esperando un correo en especial como las notificaciones de
Kueski o te llegue un mensaje de alguno de tus contactos, no abras los correos
electrónicos que no conoces. Muchas veces los correos están infectados con links
que te llevan a sitios web sospechosos.

45.1.6 Verifica archivos adjuntos


Aún si el correo electrónico viene de uno de tus contactos o de alguien que
esperabas, verfica que los archivos adjuntos tengan sentido.
Si se ven sospechosos, con muchas faltas de ortografía o en formatos
desconocidos, no los abras ni los descargues.

45.1.7 Mantén tu equipo actualizado


La mejor manera de protegerte ante vulnerabilidades es tener tu equipo actualizado.
Baja siempre la más reciente versión del sistema operativo que tengas, sea móvil o
de computadora: Windows, MacOS, iOS, y Android por nombrar a los principales
sistemas.

45.1.8 Baja los parches de seguridad que ofrece tu sistema operativo


Cuando sucedió el ataque de WannaCry, Windows anunció un parche para cubrir
la vulnerabilidad que el virus había explotado. Cuando haya parches, bájalos
inmediatamente. Fíjate que vengan de tu proveedor oficial y no sean versiones
piratas.

45.1.9 Reporta cualquier anomalía


Si detectas cualquier anomalía en tu equipo de cómputo, tus cuentas bancarias o
cualquier otro tipo de cuenta, repórtalo al encargado o autoridad correspondiente.
Reparte esta información con tus conocidos para evitar la infección de tu equipo y
la resguardar la integridad de tus datos personales.

Capítulo 46 Ataques de red distribuidos (DNA)


Un ataque de red distribuida (DNA) es la técnica utilizada para recuperar archivos
protegidos con contraseña. Utiliza la potencia de procesamiento no utilizada de las
máquinas en la red para descifrar las contraseñas. En este ataque, se instala un
administrador de ADN en una ubicación central donde las máquinas que ejecutan
clientes de ADN pueden acceder a él a través de la red.

El administrador de ADN coordina el ataque y asigna pequeñas porciones de la


búsqueda de claves a máquinas distribuidas por toda la red. El cliente de DNA se
ejecuta en segundo plano, solo tomando el tiempo de procesador no utilizado. El
programa combina las capacidades de procesamiento de todos los clientes
conectados a la red y los utiliza para realizar una búsqueda de claves de archivos
para descifrarlos.

46.1.1 Características de un ataque de red distribuida:

 Lee estadísticas y gráficos fácilmente.


 Agrega diccionarios de usuario para descifrar la contraseña.
 Optimiza los ataques con contraseñas para idiomas específicos.
 Modifica los diccionarios del usuario.
 Incluye la funcionalidad de instalación de cliente sigilosa.
 Actualiza automáticamente al cliente mientras actualiza el servidor.
 Controla a los clientes e identifica el trabajo realizado por los clientes.

46.1.2 Método para protegerse de un


ataque DNA
Elcomsoft Distributed Password Recovery, le permite romper contraseñas
complejas, recuperar claves de encriptación fuertes y desbloquear documento en
un entorno de producción. Permite la ejecución de código de recuperación de
contraseña matemáticamente intensivo en los elementos computacionales
enormemente paralelos encontrados en aceleradores gráficos modernos. Emplea
una tecnología innovadora para acelerar la recuperación de contraseñas cuando
hay presente una tarjeta gráfica ATI o NVIDIA compatible además del modo solo
CPU.

Capítulo 47 Ataques no electrónicos


Los ataques no electrónicos también se denominan ataques no técnicos. Este tipo
de ataque no requiere ningún conocimiento técnico sobre los métodos de intrusión
en el sistema de otro. Por lo tanto, se denomina ataque no electrónico. Hay cuatro
tipos de ataques no electrónicos, que son: ingeniería social, espiar sobre el hombro,
olfateo de teclado y revisa la basura.

47.1.1 Dumpster diving (revisar la basura)


Es un método de ataque clave que apunta a una falla sustancial en la seguridad
informática: la misma información que las personas anhelan, protegen y
devotamente seguras puede ser alcanzada por casi cualquier persona dispuesta a
revisar la basura del objetivo. Le permite recopilar información sobre las
contraseñas del objetivo mirando a través de la papelera. Este tipo de ataque de
baja tecnología tiene muchas implicaciones.
Debido a la menor seguridad de la que hay hoy en día, revisar la basura fue bastante
popular en la década de 1980. El término "buceo de contenedor" se refiere a
cualquier información útil, general que se encuentra y se toma de las áreas donde
se ha descartado. Estas áreas incluyen botes de basura, contenedores,
contenedores de basura, y similares, de los cuales se puede obtener información
de forma gratuita Los atacantes curiosos o maliciosos pueden encontrar archivos
de contraseñas, manuales, documentos confidenciales, informes, recibos, números
de tarjetas de crédito o disquetes que hayan sido desechados. La mejor manera de
contrarrestar esto es destruir los archivos valiosos y desecharlos en un formato
ilegible para humanos.
Simplemente, el examen de los productos de desecho que se han vertido en las
áreas del contenedor de basura puede ser útil para los atacantes, y existe amplia
información para respaldar este concepto. Dicha información útil fue arrojada sin
pensar a qué manos podría llegar.
Los atacantes pueden utilizar estos datos para obtener acceso no autorizado en los
sistemas informáticos de los demás, o los objetos encontrados pueden provocar
otros tipos de ataques como los basados en Ingeniería social.

47.1.2 Shoulder surfing (Hombro en el hombro)


Es cuando un intruso está parado discretamente, pero cerca de un usuario legítimo,
mirando cómo se ingresa la contraseña. El atacante simplemente mira el teclado o
la pantalla del usuario mientras inicia sesión, y observa si el usuario está mirando al
escritorio en busca de un recordatorio de contraseña o la contraseña real. Esto solo
puede ser posible cuando el atacante está físicamente cerca del objetivo. Este tipo
de ataque también puede ocurrir en la línea de pago de una tienda de comestibles
cuando una víctima potencial está pasando una tarjeta de débito e ingresando el
PIN requerido. Muchos de estos números de identificación personal tienen solo
cuatro dígitos.

Capítulo 48 Ingeniería Social


La ingeniería social es una técnica de ataque muy utilizada debido a su alto nivel de
eficacia. Parte de la base de que las personas somos el eslabón más débil de un
sistema de seguridad, y ya sea mediante labia o automatismos intenta engañarnos
para que acabemos relevando datos clave para comprometer nuestros sistemas.
Las personas más vulnerables a este tipo de ataques, nos explica, son aquellas que
manejan información confidencial o pueden permitir el acceso a datos
confidenciales. "No hace falta siquiera que sea el CEO de una empresa, puesto
que muchos negocios no establecen barreras de acceso a datos y sistemas
importantes y no son pocos los empleados que pueden acceder a ellos, aun sin
saberlo". Otro de los métodos clásicos utilizados por los atacantes es el phishing
mediante ingeniería social. Nos pueden enviar SMS, correos electrónicos o una URL
a una web aparentemente real, pero que es sólo una copia de la original diseñada
específicamente para engañarnos y obtener nuestros datos.

48.1.1 Evadir la ingeniería social


 Si alguna vez te encuentras pensando que es raro que tu banco o una web
se ponga en contacto contigo por este medio para un tema que nunca habíais
tratado así, mejor desconfiar. Y cuidado con abrirlos por pura curiosidad,
porque puede jugarnos malas pasadas.
 Desconfiar de los ficheros adjuntos, especialmente si son ejecutables (la
minoría) o vienen comprimidos y utilizan una extensión poco frecuente (js,
vbs, hta, etc.)", nos explica, "además de revisar los enlaces que nos
proporcionan, puesto que suelen estar acortados o suplantar alguna web
original (phising)".
 Existen varias herramientas como el framework Metasploit o el SET (Social-
Engineering Toolkit), diseñadas para automatizar estos ataques.
 También nos advierte de que otro método utilizado es el abandonar USBs
con contenidos que puedan ser de interés para la víctima e inciten a abrir el
fichero.

Capítulo 49 Keyloggers
Un keylogger es un programa que registra todas las pulsaciones de teclas que se
escriben en el teclado de la computadora sin el conocimiento del usuario. Una vez
que se registran las pulsaciones de teclas, se envían al atacante o se ocultan en la
máquina para su posterior recuperación. El atacante los examina cuidadosamente
con el fin de encontrar contraseñas u otra información útil que pueda utilizarse para
comprometer el sistema. Instalar software antivirus y antispyware, virus, troyanos y
otro malware son los medios a través de los cuales los registradores de teclas del
software invaden la computadora. Antivirus y antispyware son la primera línea de
defensa contra keyloggers. Con las aplicaciones de limpieza de registrador de
pulsaciones disponibles en línea, los registradores de pulsaciones detectados por
el antivirus computadora. Por ejemplo, un keylogger es capaz de revelar el
contenido de todos los correos electrónicos compuestos por el usuario del sistema
informático en el que se ha instalado el keylogger.

Capítulo 50 Ataques de Fuerza Bruta


Los algoritmos criptográficos deben estar suficientemente endurecidos para evitar
un ataque de fuerza bruta. La definición tal como lo establece RSA: "La búsqueda
exhaustiva de claves o la búsqueda de fuerza bruta es la técnica básica para probar
todas las claves posibles hasta que se identifique la clave correcta". Cuando alguien
intenta producir todas y cada una de las claves de encriptación para datos hasta
que se detecta la información necesaria, esto se denomina ataque de fuerza bruta.
Hasta esta fecha, este tipo de ataque fue realizado por aquellos que tenían
suficiente poder de procesamiento.

El criptoanálisis es un ataque de fuerza bruta contra una encriptación de una


búsqueda de fuerza bruta en el espacio de claves. En otras palabras, la prueba de
todas las claves posibles se realiza en un intento de recuperar el texto plano
utilizado para producir un texto cifrado particular. La detección de texto clave o texto
claro con un ritmo más rápido en comparación con el ataque de fuerza bruta puede
considerarse una forma de descifrar el cifrado. Un cifrado es seguro si no existe un
método para romper ese cifrado que no sea el ataque de fuerza bruta. En su
mayoría, todas las cifras carecen de una prueba matemática de seguridad. Si las
claves se eligen originalmente de forma aleatoria o se buscan aleatoriamente, el
texto plano, en promedio, estará disponible después de probar la mitad de todas las
claves posibles.

50.1.1Algunas de las consideraciones para los ataques de fuerza bruta son las
siguientes:

 Es un proceso lento
 Todas las contraseñas eventualmente serán encontradas
 Los ataques contra hashes NT son mucho más difíciles que los hash LM

50.1.2 Prácticas para protegernos del


descifrado de contraseñas:
 No comparta su contraseña con nadie, ya que esto le permite a otra persona
acceder a la información de su personal, como calificaciones y declaraciones
de pago, información que normalmente está restringida a usted.
 No use la misma contraseña durante un cambio de contraseña, una que sea
sustancialmente similar a la usada previamente.
 Habilite la auditoría de seguridad para ayudar a monitorear y rastrear los
ataques de contraseñas
 No use contraseñas que se pueden encontrar en un diccionario
 No utilice protocolos de texto simple (sin encriptación), ni protocolos con
encriptación débil.
 Establezca la política de cambio de contraseña tan a menudo como sea
posible, por cada 30 días.
 Evite almacenar contraseñas en una ubicación no segura porque las
contraseñas que se almacenan en lugares tales como en los archivos de una
computadora son fácilmente sometidas a ataques.
 No use las contraseñas predeterminadas de ningún sistema.
50.1.3 Prácticas más recomendadas
1. Haga que las contraseñas sean difíciles de adivinar usando de ocho a doce
caracteres alfanuméricos en una combinación de letras mayúsculas y minúsculas,
números y símbolos. Las contraseñas seguras son difíciles de adivinar. Cuanto más
compleja sea la contraseña, menos estará sujeta a ataques.

2. Asegúrese de que las aplicaciones no almacenen contraseñas en la memoria ni


las escriban en el disco. Si las contraseñas se almacenan en la memoria, las
contraseñas pueden ser robadas. Una vez que se conoce la contraseña, es muy
fácil para el atacante escalar su derecho en la aplicación.

3. Use una cadena aleatoria (sal) como prefijo o sufijo con la contraseña antes de
encriptar. Esto se usa para anular la pre computación y la memorización. Dado que
la sal suele ser diferente para todas las personas, no resulta práctico para el
atacante construir las tablas con una única versión encriptada de cada contraseña
candidata. Los sistemas UNIX generalmente usan sal de 12 bits.

4. Nunca use información personal para diseñar una contraseña, como datos de
nacimiento, cónyuge, nombres de familiares o mascotas. Si usa esas contraseñas,
es bastante fácil para las personas que están cerca de usted descifrar esas
contraseñas.

5. Controle los registros del servidor en busca de ataques de fuerza bruta en las
cuentas de usuario. Aunque los ataques de fuerza bruta son difíciles de detener, se
pueden detectar fácilmente mediante la supervisión del registro del servidor web.

6. Por cada intento fallido de inicio de sesión, se registra un código de estado HTTP
401 en los registros de su servidor web. Bloquee una cuenta sujeta a demasiadas
conjeturas incorrectas de contraseña.

50.1.4 Escalada de Privilegios:


Contramedidas
La mejor medida contra la escalada de privilegios es garantizar que los usuarios
tengan los menores privilegios posibles o los privilegios suficientes para utilizar su
sistema de manera efectiva. A menudo, las fallas en el código de programación
permiten tal escalada de privilegios. Es posible que un atacante obtenga acceso a
la red usando una cuenta no administrativa. El atacante puede obtener el mayor
privilegio de un administrador.

50.1.5 Las contramedidas generales de escalada de privilegios


 Restrinja los privilegios de inicio de sesión interactivo.
 Ejecute usuarios y aplicaciones con los menores privilegios.
 Implementar autenticación y autorización de múltiples factores.
 Ejecuta servicios como cuentas sin privilegios.
 Utiliza la técnica de cifrado para proteger los datos confidenciales.
 Implemente una metodología de separación de privilegios para limitar el
alcance de los errores y errores de programación.
 Reduzca la cantidad de código que se ejecuta con privilegios particulares.
 Realice la depuración usando checkers de límites y pruebas de estrés.
 Pruebe el sistema operativo y los errores y errores de codificación de la
aplicación a fondo.
 Actualizar los sistemas regularmente.

Capítulo 51 Ejecución de Aplicaciones


Los atacantes ejecutan aplicaciones maliciosas en esta etapa. Esto se llama
"poseer" el sistema, la ejecución de las aplicaciones se realiza después de que el
atacante obtenga los privilegios administrativos. El atacante puede intentar ejecutar
algunos de sus propios programas maliciosos de forma remota en la máquina de la
víctima para recopilar información que conduzca a la explotación o pérdida de
privacidad, obtener acceso no autorizado a los recursos del sistema, descifrar
contraseñas, capturar capturas de pantalla e instalar una puerta trasera para
mantenerse tranquilo acceso, etc.
51.1.1 Los programas maliciosos que el atacante ejecuta
ser:
51.1.2 Puertas traseras (backdoors): programación diseñada para denegar o
interrumpir el funcionamiento, recopilar información que conduce a la explotación o
pérdida de privacidad, un software que le permite tener acceso remoto a un atacante
sin despertar alertas en el sistema de la víctima.

51.1.3 Crackers: pieza de software o programa diseñado con el propósito de


descifrar el código o las contraseñas.

51.1.4 Keyloggers: esto puede ser hardware o un tipo de software. En cualquier


caso, el objetivo es registrar todas y cada una de las teclas hechas en el teclado de
la computadora.

51.1. 5 Spyware: el software espía puede capturar las capturas de pantalla y


enviarlas a una ubicación específica definida por el atacante informático. El atacante
tiene que mantener el acceso a la computadora de la víctima hasta que se cumpla
su propósito.

Después de conducir toda la información requerida de la computadora de la víctima,


el atacante instala varias puertas traseras para mantener el acceso fácil a la
computadora de la víctima en el futuro.

51.1.6 Contramedidas contra la ejecución de Malware


 Instalar software antivirus y antispyware, virus, troyanos y otro malware son
los medios a través de los cuales los registradores de teclas del software
invaden la computadora. Antivirus y antispyware son la primera línea de
defensa contra keyloggers. Con las aplicaciones de limpieza de registrador
de pulsaciones disponibles en línea, los registradores de pulsaciones
detectados por el antivirus se pueden eliminar de la computadora.
 Instala un IDS basado en host, que puede monitorear tu sistema y
deshabilitar la instalación de keyloggers.
 Habilitar firewalls en la computadora. Los cortafuegos evitan el acceso
externo a la computadora. Los cortafuegos evitan la transmisión de
información grabada al atacante.
 Mantenga un registro de los programas que se ejecutan en la computadora.
Use software que escanee y monitoree con frecuencia los cambios en el
sistema o la red. Por lo general, los registradores de teclas tienden a
ejecutarse en segundo plano de forma transparente.
 Mantenga sus sistemas de hardware seguros en un entorno bloqueado y con
frecuencia.
 Verifique los cables del teclado para los conectores conectados, el puerto
USB.

Capítulo 52 Esteganografía
Se ha argumentado que una de las deficiencias de varios programas de detección
es su enfoque principal en la transmisión de datos de texto. ¿Qué sucede si un
atacante elude las técnicas de vigilancia normales y aún roba o transmite datos
confidenciales? Una situación típica sería cuando un atacante logra ingresar a una
empresa como empleado temporal o contratado y subrepticiamente busca
información confidencial.

Si bien la organización puede tener una política de no permitir que se eliminen


equipos electrónicos de una instalación, un atacante determinado aún puede
encontrar la manera de utilizar técnicas como la esteganografía.

52.1.1 Los atacantes pueden insertar información como:


 Código fuente para la herramienta de hacking.
 Lista de servidores comprometidos.
 Planes para futuros ataques.
 Canal de comunicación y coordinación.
52.1.2 El ataque a sistemas en el
Pentesting
En un intento de hacker un sistema, el atacante inicialmente intenta descifrar la
contraseña del sistema, si corresponde. Por lo tanto, como un pentester, también
debe intentar descifrar la contraseña del sistema.

51.1.3 Recomendaciones
1. Identifique los sistemas protegidos con contraseña: identifique el sistema objetivo
cuya seguridad necesita ser evaluada. Una vez que identifique el sistema, verifique
si tiene acceso a la contraseña, es decir, una contraseña almacenada. Si la
contraseña no se almacena, intente realizar varios ataques de descifrado de
contraseñas uno tras otro en el sistema de destino.

2. Una vez que el atacante obtiene la contraseña del sistema, él o ella trata de
escalar sus privilegios al nivel de administrador para que puedan instalar programas
maliciosos o malware en el sistema de destino y así recuperar información
confidencial del sistema. Como pentester, debe hackear el sistema como un usuario
normal y luego tratar de escalar sus privilegios.

3. Los pentesters deben verificar los sistemas de destino ejecutando algunas


aplicaciones para descubrir las huecos en el sistema objetivo.

4. Un atacante instala los rootkits para mantener el acceso oculto al sistema. Debe
seguir los pasos del pentesting para detectar archivos ocultos en el sistema de
destino

5. El pentester debe saber si él o ella puede cubrir las pistas que él o ella ha
realizado durante la simulación del ataque para realizar pruebas de penetración.
Conclusión
En conclusión la seguridad informática se encarga de proteger todo lo relacionado
con la infraestructura computacional y la información que se encuentra en las
computadoras, Existen varias amenazas por lo que se debe tener cuidado con lo
que se abre en internet y en correos que mandan personas desconocidas, ya que,
es posible que la computadora sea infectada con un virus y traiga problemas a esta,
tales como la pérdida total o parcial de la información, falsificación de los datos,
interferencia en el funcionamiento, etc. Pero el número de amenazas se pueden
reducir si se coloca un antivirus y si se evita entrar en páginas o correos electrónicos
que aparenten ser extraños, También existen organismo oficiales de la seguridad
informática que luchan por lograr los objetivos de esta, Si bien día a día aparecen
nuevos y complejos tipos de incidentes, aún se registran fallas de seguridad de fácil
resolución técnica, las cuales ocurren en muchos casos por falta de conocimientos
sobre los riesgos que acarrean. Por otro lado, los incidentes de seguridad impactan
en forma cada vez más directa sobre las personas. En consecuencia, se requieren
efectivas acciones de concientización, capacitación y difusión de mejores prácticas,
Es necesario mantener un estado de alerta y actualización permanente, la seguridad
es un proceso continuo que exige aprender sobre las propias experiencias, Las
organizaciones no pueden permitirse considerar la seguridad como un proceso o un
producto aislado de los demás. La seguridad tiene que formar parte de las
organizaciones, Debido a la constantes amenazas en que se encuentran los
sistemas, es necesario que los usuarios y las empresas enfoquen su atención en el
grado de vulnerabilidad y en las herramientas de seguridad con las que cuentan
para hacerle frente a posibles ataques informáticos que luego se pueden traducir en
grandes pérdidas, Los ataques están teniendo el mayor éxito en el eslabón más
débil y difícil de proteger, en este caso es la gente, se trata de uno de los factores
que han incentivado el número de ataques internos. No importando los procesos y
la tecnología, finalmente el evitar los ataques queda en manos de los usuarios.

Bibliografía:
https://gburu.net/curso-de-seguridad-informatica-modulo-5-ataques-
informaticos/amp/

https://www.genbeta.com/a-fondo/el-mayor-punto-debil-de-tu-seguridad-eres-tu-
asi-te-pueden-atacar-con-la-ingenieria-social

http://sitn.hms.harvard.edu/flash/2017/password-guessing/

http://es.kioskea.net/contents/17-introduccion-a-los-ataques

http://ocw.uoc.edu/computer-science-technology-and-multimedia/advanced-
aspects-of-network-security/advanced-aspects-of-network-
security/P06_M2107_01769.pdf
http://claretenlared.blogspot.mx/2012/05/ataques-en-la-red.html

http://redyseguridad.fip.unam.mx/proyectos/buenaspracticas/ataquesenredessocial
es.html

http://www1.cibertec.edu.pe/2/modulos/JER/JER_Interna.aspx?ARE=2&PFL=2&J
ER=3762&JERR=3753