TRABAJO COLABORATIVO 2

INTRODUCCION A LA SEGURIDAD INFORMATICA

CÓDIGO 233001_19

SONIA ELIZABETH ERASO HANRRYR

c.c. 59836994

Tutor: Ing. WILSON CASTAÑO

UNIVERSIDAD NACIONAL ABIERTA Y A DISTANCIA - UNAD

ESCUELA DE CIENCIAS BÁSICAS, TECNOLOGÍA E INGENIERÍA
ESPECIALIZACIÓN EN SEGURIDAD INFORMÁTICA
SAN JUAN DE PASTO
2013
 2

INTRODUCCION

Con el avance de la tecnología y las comunicaciones ha surgido el ataque a los sistemas

informáticos, ya sea a través de la web, accesos remotos, accesos no autorizados a servidores y
computadores, surgiendo cada día nuevas modalidades delictivas que han transformado al Internet
en una amenaza para cualquier tipo de persona u organización.

Cada día se descubren más vulnerabilidades, los encargados de las IT de las organizaciones están
comprendiendo la importancia que tiene la seguridad informática dentro de las mismas y como
pueden abordar el grave problema que existe tras estos ataques, realizando acciones preventivas que
eviten la ocurrencia de algún evento que pueda alterar y dañar la información, siendo esta
clasificada como el activo más importante.

El presente trabajo pretende investigar algunos de los ataques ocurridos durante los últimos meses,
las técnicas de ingeniería social y cómo se produce un ataque informática, como información
necesaria para empezar a implementar medidas preventivas ante este tipo de situaciones.
 3

PRINCIPALES ATAQUES A SISTEMAS INFORMATICOS

DURANTE LOS ULTIMOS MESES

NOMNBRE: ATAQUE WIN32/SPY.BANKER.ZSA

Fecha: Julio de 2013
Víctimas: Usuarios de internet que hacen transacciones bancarias

Ataque Win32/Spy.Banker.ZSA, este malware que aparece en las redes, su objetivo es

robar datos bancarios, a través de un email simulando un robo de conversaciones de Facebook y
WathsApp. Este contiene 3 enlaces que, al acceder a ellos, descargan un malware y lo instalan en el
equipo de la víctima. Este troyano permanece en memoria y monitorea las ventanas del navegador
abiertas por la persona. Cuando se accede a páginas de instituciones bancarias captura la salida del
teclado, capturando datos críticos como nombres de usuarios, números de tarjetas de créditos,
cuentas bancarias y todo lo que el usuario ingrese en cualquier formulario.
os sitios.

Forma de ataque: El destinatario se hace pasar por un contacto de la agenda simulando la

veracidad del correo y remitiendo a 3 links. Dichos links no son las conversaciones que dicen ser,
sino que es un tipo de malware (downloader) oculto en un fichero. Al hacer click sobre los links se
ejecuta el malware y se descargan en el equipo varios archivos externos, e instala el troyano
mencionado, y lo envía a un servidor externo.

En un principio, este troyano únicamente está orientado a robar datos de entidades

financieras latinoamericanas. Si un usuario se infecta y no tiene relación con dichas entidades no
robará información, por el momento, otro tipo de datos. El funcionamiento es muy sencillo, al
intentar acceder a la entidad bancaria afectada el troyano redireccionará a otra página similar pero
falsa, cuya finalidad es la de engañar al usuario y proceder al robo de datos.

NOMBRE: DEL ATAQUE: ROOTKIT.LINUX.SNAKSO

FECHA: 13 DE OCTUBRE DE 2013

Víctimas: Es un rootkit que se encuentra en estado de desarrollo, afecta principalmente

servidores con sistema operativo Debian o Ubuntú y las versiones de escritorio tanto para 32 y 64
bits. Afecta las versiones 2.6.32-5-amd64 del kernel de Linux.
 4

Forma de ataque: Este rootkit ya ha accedido a la raíz del sistema y lo infecta, una vez
realizado permite al atacante inyectar código en las páginas web del servidor y los usuarios que
accedan a estas páginas se verán afectados por el código malicioso que se ha ubicado en ella.
Aunque está en desarrollo, hay variantes y probablemente en corto plazo pueda extenderse,
afectando a servidores Linux utilizados por empresas o páginas web.

NOMBRE: FALSA ACTUALIZACIÓN DE FLASH PLAYER LLEVA A EXTENSIONES

MALICIOSAS PARA FIREFOX
FECHA: 17 de Octubre de 2013

Víctimas: Usuarios de internet que utilizan el navegador Firefox

Forma de ataque: Existe un falso sitio de Flash Player que informa a los usuarios a
actualizar la aplicación, y que su aplicación actual puede tener vulnerabilidades.

La lista de extensiones para Firefox adjuntas a la supuesta actualización de Flash Player

incluye Bomblabio, Default Tab, Fast Free Converter, Iminent, Linksicle, LyricalParty,
SweetPacks, SySaver y Wajam. Algunas de estas extensiones ya están bloqueadas por Firefox.
Algunos antivirus detectan el instalador como un adware o un programa potencialmente no deseado.

NOMBRE: CryptoLocker
FECHA: 15 de Octubre de 2013

Víctimas: Usuarios o organizaciones, con especial incidencia entre los usuarios de Reino
Unido. Dado el carácter global de la Red se espera que en poco tiempo se empiecen a reportar casos
de usuarios infectados por el mismo en países como España.

Forma de Ataque: Este virus bloquea pcs desde una ubicación remota se propaga a través
de la red, utiliza técnicas Ramsomware, y bloquea, infecta el sitema de la víctima exigiendo dinero
por su desinfección, alrededor de 300 dolares hasta 4000 dolares, amenazando con la eliminación de
los datos del equipo y otras consecuencias.

Ransomware tiene una característica peculiar ya que se apodera de los archivos personales
del equipo bajo un fuerte cifrado usando una clave pública RSA-2048, con la clave de descifrado
incluida en un servidor secreto en Internet.

Este virus se propaga a través de hipervínculos maliciosos en las redes sociales o correos
electrónicos de spam.

Ha afectado principalmente a empresas brasileñas, del Reino Unido, algunos mensajes

difieren según la ubicación, en los últimos meses ha crecido en América Latina, y lo trabajan por
medio de ingeniería social a través de popups que afirman que presuntamente “pertenecen a la
policía” y que han encontrado contenido pornográfico o cualquier otro contenido ilegal en la
computadora.
 5

ESTRATEGIAS DE INGENIERIA SOCIAL

La ingeniería social utiliza las vulnerabilidades emocionales de las personas, para extraer
información necesaria para cometer un ataque. Dentro de estas encontramos:

 Hombro Surf: Consiste en observar sobre el hombro de una persona mientas escribe su
contraseña en el teclado, con el objetivo de grabar su contraseña en la memoria para luego
atacar su equipo, es unas de las técnicas que más se puede dar en empresas y que debe ser
de cuidado por sus empleados a la hora de escribir su clave.

 Dumpster Diving"): Muchas veces las contraseñas son escritas y luego tiradas a la busura
sin destruir los papeles en que se escriben, los hackers aprovechan esta forma para
encontrar información.

 Correo-out: Se utilizan técnicas como encuestas que ofrecen beneficios económicos, o

premios pidiendo información sobre el individuo.

 El análisis forense: Obtención de material antiguo de un equipo, como buscar información

en CDS, DVD, disquets, inclusive y tratar de extraer información que pueda ser de utilidad
para la organización.

 El teléfono: Simulan ser empleados de una empresa y solicitan información sobre

seguridad de sus empleados, o inclusive amenazan, hacen falsas llamadas de ayudas
técnicas, persuaden al usuario a dar sus datos personales, consulta de buzones de voz, uso
fraudulento de líneas.

 Entrada no autorizada a los sitios de trabajo: Se accede de forma ilegal a un sitio de trabajo
con el fin de robar, fotocopiar información, acceso a servidores, software espía, roban
equipos, roban datos, etc.

 La Internet-Intranet: Repetición de contraseñas, encuestas y actualizaciones falsas, anexos

troyanos, spyware, entre otros.

 Fuera de la Oficina: Técnicas como ganar la confianza del usuario, invitarlo a almuerzos,
reuniones, para que revelen sus contraseñas.

 Falsos premios: Información al usuario sobre la ganancia de viajes, premios en dinero,

ofertas laborales, cupones de descuento, etc.

 Suplantación de páginas: Se crean páginas falsas para que los usuarios con poca
experiencia en la identificación de las mismas ingresen sus datos personales y contraseñas.

 Factor Insiders: Una de las formas más eficaces que posee un atacante para romper los
esquemas de seguridad, es desde el interior de la organización. Ejemplo, conseguir un
empleo y ganarse la confianza para explotar los puntos de acceso.
 6

ATAQUE A UN SISTEMA INFORMATICO

Existen varios ataques a un sistema informático, dentro de los ataques más frecuentes existe
uno que es a través de la web, y el otro por una red, ya sean locales, remotas, inalámbricas y ataque
a servidores y equipos.

El objetivo es aprovechar una vulnerabilidad o falla ya sea en hardware o software, incluso

en las personas que comparten el ambiente informático utilizando técnicas de ingeniería social, con
el fin de obtener un beneficio de índole económica causando daños en la seguridad del sistema que
repercutirá directamente en la organización y en sus activo más importante como es la información.

Como se produce un ataque informático a un sistema?

Existen varias fases para atacar a un sistema el cual se describirá a continuación:

Reconocimiento: Se refiere a la obtención de datos o información de una potencial víctima

que puede ser una persona, organización, etc. En esta etapa se recolectan datos del objetivo,
utilizando técnicas como ingeniería social, dumpster diving, sniffing.

Exploración (scanning): Se utiliza la información para sondear la información obtenida y

se trata de obtener información sobre el sitema que utiliza la víctima tal como dircciones IP, sistema
operativo, nombre del equipo (host), datos de autenticación, permisos, puertos, encontrar
vulnerabilidades. Entre las herramientas que un atacante puede emplear durante la exploración se
encuentra el network mappers, port mappers, network scanners, port scanners, y vulnerability
scanners.

Obtener accesos: Es aquí donde comienza el ataque a través de la exploración de esas

vulnerabilidades que existen en el sistema, que se recopilaron en las anteriores fases. Algunas de las
técnicas que puede utilizar el atacante son Buffer Overflow, Denial of Service (DoS), Distributed
Denial Of Service (DDos), filtración de password y hijacking.

Mantener el acceso: Una vez que el atacante ha accedido al sistema busca herramientas que
le permitan acceder continuamente y desde cualqueir sitio donde tenga acceso a internet. Para ello
suelen utilizar utilidades como backdoors, rooktits y troyanos, entre otros.

Borrar huellas. Una vez que el atacante logró obtener el acceso al sistema, borrará todas las
huellas que fue dejando cuando accedió al sistema para evitar ser detectado por la parte de
seguridad informática o quien administra el sistema y la red. Por lo general borran los archivos log
o de registro o las alarmas del sistema de detección de intrusos (IDS).
Aspectos que comprometen un ataque

Como siempre se ha mencionado, los tres elementos que comprometen parte de estos
ataques son la confidencialidad, la disponibilidad y la integridad.

Confidencialidad. Especialmente se refiere al robo de contraseñas u otro tipod e datos que

viajan en texto claro a través de redes confiables. Por ejemplo el envenenamiento de la tabla ARP.
 7

Integridad. Interceptación de mensajes y realizar cambios en bits del texto cifrado con el
objetivo de alterar los datos del criptograma, denomidado bit-Flipping, y cambia en si toda la
información. Este ataque se enfoca especialmente a los datos e información que viajan por la red,
pero que afectan la información del sistema y puede convertirse a la larga en un ataque de
denegación de servicio contra todos los mensaje sen un canal que utiliza cifrado.

Disponibilidad. Se puede utilizar los recursos de la organización como el ancho de banda

para inundar el mensaje y forzar la caída del sistema, negando así recursos y servicios a los usuarios
del sistema, conocido como la denegación del servicio DoS igualmente atenta contra la integridad
de la información.
 8

CONCLUSIONES

- Es importante actuar de manera coherente y proactiva frente a posibles ataques que puede
sufrir una organización. La disciplina y dedicación forman parte de las técnicas para
prevenirlos y enfrentar los diferentes ataques a los que estamos expuestos.

- Cada vez que un atacante tiene acceso a un sistema implementa herramientas para borrar
sus huellas (rookits) e ingresar al equipo cada vez que necesita logrando obtener un mayor
control sobre la víctima.

- Existen múltiples puntos de acceso y técnicas que el atacante puede seguir para acceder a
información, entre ellos la ingeniería social, es importante no pasar por alto las temáticas
relacionadas al ambiente informático por más pequeñas que parezcan, realizando las
mejores prácticas de seguridad.

- Recuerde siempre que el enemigo es la ignorancia y que el desconocimiento siempre

favorece a los atacantes. Es sumamente necesario actuar de manera proactiva frente a los
posibles ataques que puede sufrir la organización
 9

REFERENCIAS BIBLIOGRAFICAS

Estrategias de ingeniería social para propagar ataques informáticos. (2012). Disponible en:
http://www.mujeresdeempresa.com/tecnologia/120301-estrategias-de-ingenieria-social-
para-propagar-ataques-informatiicos.asp

Gómez, J. (2013). Potencial estaba en internet. Disponible en:

http://www.adslzone.net/article13204-alertan-de-la-expansion-de-cryptolocker-un-virus-
que-secuestra-el-pc.html

Mieres, J. (2009). Ataques informáticos Debilidades de seguridad comúnmente explotadas

Disponible en: www.evilfingers.com

Noticias informáticas, críticas e importantes (2013). Disponible en

http://noticias.seguridadpc.net/?p=9211

La ingeniería social y la seguridad. Disponible en:

http://th3best.lacoctelera.net/post/2010/06/04/la-ingenieria-social-y-seguridad

Ramirez G. y Constain, G. (2012). Modelos y estándares de seguridad informática. Universidad

Nacional Abierta y a Distancia.