Entorno global y

Marco Normativo de la Ciberseguridad.

Principales delitos Cibernéticos

México y el mundo

Leguízamo Herrera Humberto

Hugo Gómez Tagle Pérez
Manuel Alejandro Calvo Cruz
David Martin Jiménez
Introducción

El reporte de seguridad de ESET para latinoamérica 2018 presenta a México como

el segundo país con más riesgo de ataque cibernético de américa latina. En un
panorama global dominado por la tecnología y acechado por amenazas, aunado a la
reducción de presupuesto para ciberseguridad que arrojan las encuestas, el
panorama empresarial se vuelve incierto. A continuación presentamos algunos de
los principales retos a nivel mundial y local que enfrentaron los especialistas en
seguridad cibernética el año pasado, hay que añadir que la migración de las
operaciones hacia la nube y el crecimiento de IoT plantean un panorama dinámico y
rápidamente cambiante el cual habrá que monitorear con atención.

Principales ataques cibernéticos en el mundo

DDoS - Distributed Denial of Service

Un ataque DDoS o de denegación de servicio distribuido, es un intento

malicioso de interrumpir el tráfico normal hacia un servidor, servicio o red , esto se
logra inundando al objetivo o su estructura circundante con tráfico irrelevante.
Generalmente los DDoS se logran a través de usar múltiples sistemas
comprometidos de antemano como fuentes, estos sistemas pueden incluir CPUs y
otros dispositivos de IoT.
Un ataque DDoS requiere que el atacante controle previamente una red de
dispositivos, los infecta con malware y los vuelve bots (dispositivos zombie) con lo
cual los dispositivos responden a las órdenes de un centro de control, esta red de
bots se llama botnet, cuando el centro de control establece una IP victima cada uno
de los bots enviará peticiones hacia el objetivo causando un sobreflujo y resultando
en una negación de servicio hacia el tráfico normal, dado que cada bot es un
dispositivo legítimo es difícil separar un ataque del tráfico normal.
Hay varios tipos específicos de DDoS, algunos difieren de la capa OSI que se
sirven para atacar, entre ellos se encuentran:

1-DDoS de Aplicación: su objetivo es agotar los recursos de la víctima ya que una

petición HTTP es relativamente barata en términos computacionales pero varias
peticiones simultáneas en páginas dinámicas se vuelven costosas en tiempos
computacionales. Un símil sería apretar el botón para refrescar la pagina varias
miles de veces por segundo.

2-DDoS de protocolo: se sirven de agotar los recursos intermedios de tablas de

firewalls y balanceo de cargas generalmente inundandolas de peticiones TCP de
SYN y no enviar respuesta.

3-DDoS de amplificación de DNS: utilizan una petición falsa con la dirección de la

víctima hacia un servidor DNS, así el servidor DNS le responde a la víctima con una
gran cantidad de información que no pidió.

En el 2018 los diferentes ataques DDoS a nivel mundial se distribuyeron de la

siguiente manera:
A nivel global DDoS es el ataque más común, su distribución por incidencia en
países en 2018 fue la siguiente:

Mitigación y Prevención de DDoS

La principal dificultad de la prevencion y mitigacion de un DDoS es diferenciar entre
el tráfico normal y el ataque, para esto se necesitan una diversidad de tácticas con
el objetivo de contrarrestar diferentes trayectorias , en general entre más complejo
sea el ataque , más difícil será distinguirlo del tráfico normal, las contramedidas de
DDoS que incluyan limitar o descartar el tráfico, eventualmente también descartaran
el tráfico legítimo.
Algunas de las soluciones son:
Black Hole Routing​: consiste en tener una ruta específica de filtrado donde todo el
tráfico dirigido a esa dirección se vuelve nulo y sin respuesta, sirve cuando se
encuentra un dispositivo bajo ataque el ISP envía todo el tráfico a un hoyo negro
como defensa.
Rate LImiting: ​Limita el número de peticiones que un servidor puede atender en un
periodo , así mismo ayuda a mitigar los ataques de fuerza bruta, sin embargo es
insuficiente para detener ataques DDoS complejos.
Web Application Firewall: es una herramienta que ayuda a detener ataques de capa
OSI 7 , el WAF toma las funciones de un proxy en reversa con leyes
predeterminadas que pueden modificarse de acuerdo a una respuesta de ataque
específica.
Anycast Network DIffusion: distribuye el tráfico del ataque a través de una red
distribuida de servidores hasta el punto de que es absorbido por la red, esta
herramienta es dependiente del tamaño del ataque y del tamaño de la red.

Man in The Middle

El atacante tiene conexiones independientes con las víctimas y transmite mensajes
entre ellos, haciéndoles creer que están hablando directamente entre sí a través de
una conexión privada, cuando en realidad toda la conversación es controlada por el
atacante. El atacante debe ser capaz de interceptar todos los mensajes que van
entre las dos víctimas e inyectar nuevos.
Existen diferentes variantes sobre este ataque. Uno de los principales y más
conocidos es la simulación de un punto de acceso inalámbrico que consiste en que
un atacante configura su dispositivo de tal manera que este se convierta en una vía
adicional para acceder a Internet. De esta manera, si el atacante consigue engañar
a los usuarios más ingenuos, este puede acceder y manipular la totalidad de los
datos de su sistema antes de que estos se transmitan al verdadero access point.
Y por mencionar otras variantes se encuentran:

● Ataques basados en servidores DHCP

● ARP cache poisoning
● Ataques basados en servidores DNS
● Ataque man in the browser
● Human assisted attack
¿Cómo protegerse?

● Usa HTTPS: Muchos sitios web ofrecen desde hace tiempo comunicaciones
cifradas a través de SSL.
● Activar la verificación de dos pasos: Muchos servicios han comenzado a
ofrecer verificación de dos factores en sus servicios para aumentar la
seguridad del acceso a las cuentas de usuario.
● Usar VPN: de esta manera la conexión se cifra entre un cliente VPN y un
servidor VPN, estableciéndose a través de un túnel de comunicación seguro.

Malware

Malware es la abreviatura de “​Malicious software”, t​ érmino que engloba a todo tipo

de programa o código informático malicioso cuya función es dañar un sistema o
causar un mal funcionamiento. Dentro de este grupo podemos encontrar términos
como: Virus, Troyanos (Trojans), Gusanos (Worm), keyloggers, Botnets,
Ransomwares, Spyware, Adware, Hijackers, Keyloggers, FakeAVs, Rootkits,
Bootkits, Rogues, etc….
Según la UIN(Unidad de inteligencia de Negocios) de KPMG, el malware vino a
ocupar el 51% de los casos de delitos cibernéticos entre las empresas. Y de estos
los ransomware representaron la mitad.
En el mismo estudio se menciona que el 63% de los ataques tuvieron por motivo el
aspecto financiero, mientras que el 26% fue por espionaje y el restante 11% con
motivaciones de ideología, resentimientos, diversión entre otros.
Las principales fuentes de infección de un malware son:
1.-Redes sociales
2.-Sitios Web fraudulentos
3.-Programas gratuitos(con”regalo”)
4.-Dispositivos como USB, DVD, CD’s infectados
5.-Sitios Web legítimos previamente infectados
6.-Adjuntos en correos no solicitados (SPAM)
Para prevenir la infección por malware, básicamente hay que observar estos puntos:

1.-Uso adecuado de antivirus y “cortafuegos”

2.-Sentido común (Ingeniería social)
3.-Mantener sistemas actualizados
4.-Mantenerse informado de nuevas amenazas

Ataques Drive-by.

Un ataque drive-by consiste en hacer descargas no autorizadas como método de

propagación de malware, para realizar esto los atacantes buscan sitios web
inseguros y colocan un script malicioso en un código HTTP o PHP en una de las
páginas. Este script puede instalar malware directamente en la computadora de
alguien que visita el sitio, o puede tomar el formulario en un IFRAME que redirige a
la víctima a un sitio controlado por los ciberdelincuentes.

Últimamente este tipo de ataques han evolucionado para poderse alojar en los
celulares mediante las tiendas oficiales de aplicaciones como la Play store de
Android en la que se encuentran aplicaciones que se describen como juegos o
aplicaciones muy simples que tienen un funcionamiento oculto el cual por lo regular,
recopila información del usuario para enviarla a un servidor.

¿Cómo protegerse ante un ataque Drive-by?

● Acceder a sitios seguros: Verificar que el sitio venga de una fuente confiable
y que tenga protocolos de cifrado.
● No aceptar descargas de sitios que no confiemos.
● Tener un software antivirus instalado y actualizado.
● Usar una solución de administración de parches para encontrar y reparar las
vulnerabilidades de aplicaciones de terceros.
● Usar un navegador de Internet que incluya bloqueadores antiphishing y
antimalware. Los navegadores Microsoft Internet Explorer, Mozilla Firefox y
Opera ofrecen elementos de seguridad para bloquear sitios maliciosos.
● Activar un cortafuegos y aplicar todas las actualizaciones del sistema
operativo Windows.
Principales ataques cibernéticos en México

Phishing

Proviene de la palabra en inglés ​fishing que significa pescar. El phishing es

un tipo de ataque que comienza como un señuelo, al recibir un correo electrónico
que parece ser de una remitente confiable, tiene un alto sentido de urgencia y te
solicita una acción inmediata como abrir un enlace a un sitio falso, descargar
archivos o enviar información personal como usuarios y contraseñas.
Esta técnica principalmente es utilizada con el propósito de robar información
financiera como números de tarjetas, NIP y contraseñas para hacer transacciones
no autorizadas.
Existen variantes de esta técnica dependiendo de la fuente que se utilice:
correo electrónico, SMS (smishing) o por llamada telefónicas (vishing).
Además, si el ataque está dirigido a una persona en específico y no es
enviado masivamente es llamado spear phishing. A diferencia del phishing
tradicional, los ciberdelicuentes se ven obligados a realizar una investigación de sus
objetivos (OSINT) revisando sus redes sociales o información pública en Internet
para dirigir el ataque.
Para que el correo recibido en el buzón parezca ser de una fuente confiable,
los atacantes utilizan diferentes técnicas:
1-La más simple es, enviar correos para que los mensajes de salida
aparezcan con otro nombre.
2-Los atacantes verifican si el puerto en el que está alojado el correo una
organización solicita autenticación, en caso de que no sea así, pueden hacer uso de
cualquier cuenta de correo electrónico alojada en ese servidor para suplantar la
identidad, tanto la cuenta de correo de salida como el nombre.

Recomendaciones preventivas

Verificar el remitente, desconfiar de correos que no muestren su procedencia,

de aquellos remitentes que el dominio sea diferente al que usualmente se recibe o si
presenta errores en su escritura.

No responder a correos que parece sospechosos, ya que se valida ante los

atacantes la cuenta de correo en caso de ser spam.
Sospechar de cualquier correo que tenga sentido de urgencia o de curiosidad y que
solicite una acción inmediata como abrir un enlace, descargar archivos o enviar
datos personales.

Poner atención en la dirección del sitio web al que remiten, puede tener
variaciones en su escritura o redirigir a un sitio diferente al que indica.

No abrir archivos adjuntos de remitentes desconocidos.

Configura tu cliente de correo electrónico para poder ver la dirección de

correo y no solo el nombre de quien lo envía, y evitar la carga automática de
contenido remoto

Establecer filtros de correo no deseado y fraudulento.

Criptojacking

El uso no autorizado de una computadora, tablet o celular para minar

criptomonedas. Sucede cuando se inserta un código en un sitio, de tal modo que
cuando una persona visita esa web, parte del poder de procesamiento de su equipo
(usualmente entre un 50 y 60%) se utiliza, sin su permiso, para minar o generar
criptomonedas.

Si el administrador de un sitio decide usar su página para minar criptomonedas, le

debería informar al usuario que al navegar por su sitio se utilizará capacidad de
procesamiento de su equipo para minar.

Un caso específico en el país se localizó en el sitio de la Secretaría de Educación

Pública (SEP): A principios de año los atacantes lograron esconder sus script y
cuando los estudiantes entraban al sitio para consultar el estado del trámite de su
título, el tiempo que tardaba en cargar la información era utilizado para minar
criptomonedas.

La página oficial del plantel número 6 de la Escuela Nacional Preparatoria,

perteneciente a la UNAM, tenía el código malicioso CoinHive. Esta infección fue
confirmada por la institución, quien luego la eliminó y dijo que se había reportado a
la Dirección General de Cómputo y de Tecnologías de Información y Comunicación.

Minar criptomonedas con esta técnica es relativamente sencillo: alguien que tenga
conocimientos de programación y acceso al código de una página en internet,
idealmente con un importante tráfico, inserta el script para hacer criptodivisas, y así
deja el costo de operación en manos de los visitantes: energía, luz y equipos.

¿Cómo protegerse?

Bloquear todos los complementos Javascript, puede ser útil. AdBlock, una extensión
para navegadores diseñada para bloquear publicidad invasiva, avisa los usuarios de
las páginas que intentan minar y ofrece la opción de deshabilitar por completo a
CoinHive. Además, los complementos dedicados al bloqueo de mineros como No
Coin o minerBlock actualizan constantemente el listado de amenazas. Opera cuenta
con una opción para proteger la navegación de computadoras y dispositivos
móviles. Sin embargo, ningún método es 100% efectivo en el bloqueo de todos los
malware cryptojacking porque aparecen nuevos recurrentemente.

Ciberextorsión en México

La extorsión es la conducta por la que se obliga a una persona, mediante el uso de

la violencia o intimidación, a realizar u omitir algún acto en perjuicio propio o ajeno,
normalmente de carácter económico.
La ciberextorsión consiste en el mismo acto, de uso de violencia o intimidación,
aplicada a través de los medios informáticos, de manera que se consiga que la
víctima realice un acto en perjuicio propio o ajeno, tramitado a través de la red. Es
de notar que el infractor y la víctima normalmente no tienen contacto directo más
allá del realizado por las redes.
\
Entre las conductas más comunes de ciberextorsión se encuentran:
1.-Bloqueo de la computadora personal bajo petición de rescate económico
2.-Secuestro de acceso a teléfonos celulares
3.-Bloqueo de cuentas personales en diferentes redes sociales
4.-Amenazas de publicación de información obtenida de la víctima

5.-Envío de correos solicitando información personal bajo amenaza de

divulgación
Un ejemplo de correo de ciberextorsión se anexa a continuación.
+

En este ejemplo real, se exige a la víctima (Hugo Gómez Tagle Pérez) el pago de
989 dólares a través de Bitcoin, y de no ser así se amenaza con hacer público un
supuesto video obtenido a través de la Web Cam de la víctima, donde
supuestamente se ven ciertas imágenes comprometedoras.
Uno de los métodos de ciberextorsión más extendido es el ransomware. Este
ataque, cifra los datos de sus víctimas para exigirles a continuación un rescate a
cambio de descifrar y recuperar la información. Una vez se accede al chantaje,
pagando el rescate que solicita el cibercriminal, la víctima de una ciberextorsión
generalmente recibe un mail con la clave para descifrar sus datos. El método de
abono suele ser mediante Bitcoin, una moneda digital con valor de cambio real (1
Bitcoin = 336€). De hecho, suelen recurrir a este método de pago para dificultar su
rastreo. Sin embargo, el pago no garantiza que la empresa no pueda ser atacada
posteriormente. Otro tipo de ataques que utilizan esta forma de extorsión son
aquellos que, tras infectar tu equipo y acceden a tu webcam, chantajean a la víctima
para no difundir los vídeos capturados.
Si se es víctima de una ciberextorsión:
1.-No ceder al chantaje de los cibercriminales, pues no hay ninguna garantía de que
se resuelva el problema.
2.-Limpiar todo rastro de malware en los equipos infectados
3.-Recuperar archivos cifrados.
Esto lleva a tener una conciencia de la necesidad de una serie de acciones a
implementar para evitar ser víctima de este tipo de ciberataques, como uso de
antivirus y políticas de actualización de sistemas y cifrado de archivos , sistemas de
respaldos etc.

Explotación de vulnerabilidades.

Para explicar que es la explotación de vulnerabilidades es necesario definir en

terminos de informatica que es una vulnerabilidad y una amenaza. Una
vulnerabilidad es una debilidad o fallo en un sistema de información que pone en
riesgo la seguridad de la información pudiendo permitir que un atacante pueda
comprometer la integridad disponibilidad o confidencialidad de la misma. Una
amenaza por otra parte es toda acción que aprovecha una vulnerabilidad para
atentar contra la seguridad de un sistema de información.

En méxico este tipo de ataques son de los cinco ataques más frecuentes en el país
y estos han ido en incremento en los años recientes, en las siguiente gráfica de
WeLiveSecurity se muestra el incremento en las vulnerabilidades en los sistemas
informáticos, y como se puede ver en 2016 a la fecha se duplicaron prácticamente
este tipo de vulnerabilidades lo cual nos muestra una tendencia en el uso de estas
vulnerabilidades.
Estas vulnerabilidades se hacen presentes de diversas formas ya que pueden
presentarse debido a una mala configuración en el sistema, una mala programación
por parte de desarrolladores o incluso fallas en el sistema operativo mismo. En la
gráfica siguiente podemos ver que la vulnerabilidad principal durante 2018 fue
“Code Execution”, seguido de “Overflow”, seguido de “Cross site scripting”, esto nos
dice que uno de los principales problemas es la mala programación de los
aplicativos y la mala configuración de las redes para que dejen pasar programas
maliciosos en la red así como la mala administración de los sistemas operativos.
Hay vulnerabilidades que se han detectado hace años como la que hacía uso del
servicio SMBv1 de windows para bloquear la pantalla, conocido como WannaCry el
cual fue identificado hace más de un año en 2017 cuando hubo un ataque masivo
por medio de esta vulnerabilidad, inmediatamente microsoft lanzó una actualización
para eliminar esta vulnerabilidad de windows. Sin embargo el hecho de que estas se
identifiquen y se creen formas de contrarrestarlas no significa que no ocurran
todavía, en la siguiente estadística se muestran los ataques hechos por esta
vulnerabilidad en américa latina, México ocupa el segundo puesto.

Para prevenir este tipo de vulnerabilidades en los sistemas es importante cumplir lo

siguiente:
● Poner en práctica la ciber-resiliencia: La ciber-resiliencia es la facultad más
recomendable en el seno de una compañía para poder protegerse ante los
múltiples y cada vez más sofisticados riesgos online.
● Contar con soluciones de seguridad 360: Es fundamental que el software de
ciberseguridad pueda tanto detectar posibles vulnerabilidades en los
entrypoints, como en las solicitudes de los endpoints, logrando una
monitorización completa de los ciberataques y accesos no deseados desde el
descubrimiento y planificación de vulnerabilidades hasta la instalación y
monitorización de parches y actualizaciones.
● Revisión del CFA: Si un dispositivo empresarial padece una intrusión a través
del ExploitGuard CFA File Creator es fundamental realizar una exhaustiva
revisión para conocer a qué aplicaciones se les han concedido permisos. De
esta manera podrá sacarse el software no fiable de la lista blanca.
● Actualizaciones periódicas: Todos los programas y aplicaciones deberán
actualizarse a su debido tiempo, puesto que el 99,96% de las
 vulnerabilidades activas en los entornos corporativos tienen actualizaciones
pendientes.

Conclusión

Podemos concluir que la gente es uno de los factores que han incentivado el éxito
de los ataques informáticos y no la tecnología con la que se cuente, finalmente el
evitar ser atacados queda en manos de los usuarios. Por las amenazas que se
encuentran en los sistemas, es necesario que como usuarios enfoquemos la
atención al grado de vulnerabilidad y en las herramientas de seguridad que tenemos
para poder protegernos de posibles ataques que podemos traducir en grandes
pérdidas tanto de información como monetarias.
Debemos mantenernos en constante actualización y en estado de alerta ya que
cualquier ataque y todas sus variantes van evolucionando día con día.
En pocas palabras la seguridad tiene que formar parte de nuestra vida diaria.
Bibliografia

https://www.welivesecurity.com/wp-content/uploads/2018/06/ESET_security_report_
LATAM2018.pdf

https://www.milenio.com/tecnologia/cuales-fueron-los-ciberataques-mas-comunes-e
n-2018

https://www.mexico.com/tecnologia/los-5-ciberataques-mas-comunes-del-2018/

https://www.welivesecurity.com/la-es/2018/12/20/vulnerabilidades-en-2018-llegaron-
a-nuevo-maximo-historico/

https://www.cloudflare.com/learning/ddos/what-is-a-ddos-attack/

https://securelist.com/ddos-report-in-q1-2018/85373/

https://newsweekespanol.com/2018/03/sep-unam-futbol-cryptojacking-mexico/

https://www.welivesecurity.com/la-es/2008/07/23/drive-by-download/

https://www.cert.org.mx/que-es-el-phishing-2