Amenazas y Ataques Cibernéticos: Conceptos y Tipos Comunes

Clase 4 de 35Curso de Hacking Ético

Clase anteriorSiguiente clase

¿Qué es una amenaza?

Definición 1: Una posibilidad de violación de la seguridad, que existe cuando se da una circunstancia, capacidad, acción o evento que pudiera romper la seguridad y causar perjuicio. Es decir, una amenaza es un peligro posible que pudiera explotar una vulnerabilidad. (RFC 282).

Definición 2: Posible causa de un incidente no deseado, que puede resultar en daños a un sistema u organización. (ISO 27000:2009. Overviewand Vocabulary).

Existen diferentes categorías de amenazas que son:

  • Red: Una red es conjuntos de dispositivos conectados por un canal de comunicación con el propósito de compartir información. Mediante este, la información viaja de un lado a otro, por lo cual un agente malicioso puede irrumpir en el mismo y robar datos sensibles.
  • Host: Se dirige a un sistema particular en el que reside información valiosa en el cual los atacantes intentan violar la seguridad.
  • Aplicación: Una aplicación puede ser vulnerable si no se toman las medidas de seguridad adecuadas durante el desarrollo, implementación y mantenimiento.

¿Qué es un Ataque?

Definición 1: Un asalto a la seguridad del sistema, derivado de una amenaza inteligente; es decir, un acto inteligente y deliberado (especialmente en el sentido de método o técnica) para eludir los servicios de seguridad y violar la política de seguridad de un sistema (RFC 2828).

Definición 2: Cualquier acción que comprometa la seguridad de la información de una organización (Stallings).

Motivaciones detrás de un ataque:

  • Robo y manipulación de información.
  • Interrumpir la continuidad del negocio.
  • Daño a la reputación.
  • Tomar venganza.
  • Propagación de creencias religiosas o políticas.

Tipos de ataques

Ataques al sistema operativo: La búsqueda de fallas se realizará en lo concerniente al propio sistema base de todo el resto del software, de tal modo que, muchas veces, independientemente de lo que se encuentre por encima, se podrá explotar y tomar control del sistema en caso de que sea vulnerable.

  • En los cuales se incluyen:
  • Buffer Overflow.
  • Bugs en el sistema operativo.
  • Ataques al sistema de autenticación incorporado.
  • Cracking de passwords y mecanismos de encriptación.

Ataques a las aplicaciones: En este caso, la variedad es mayor. Existen miles y miles de piezas de software y programas de todo tipo y tamaño, disponibles en el mundo. Por supuesto, entre tantos millones de líneas de código, necesariamente se producen errores.

Las aplicaciones amplían la superficie de ataque de un sistema, por lo que se recomienda siempre evitar la instalación de aquellas que no se requieran, siguiendo el principio de seguridad que sugiere el minimalismo.

Como pueden ser:

  • Denegación de servicio.
  • Inyección SQL.
  • Directorio transversal.
  • Cross-site scripting.

Errores en configuraciones: El caso de las configuraciones, ya sean del sistema operativo o de las aplicaciones, también constituye un punto sensible, dado que por más seguro que sea un software, una mala configuración puede derrumbar toda nuestra arquitectura de seguridad.

No perdamos de vista que en Internet existe una gran cantidad de sitios que presentan contraseñas por defecto de aplicaciones y dispositivos, por ejemplo, http://cirt.net/ passwords. En este sitio podremos encontrar, clasificados por fabricante, una gran variedad de dispositivos con sus claves predefinidas.

La solución más efectiva a estos problemas, sin dudas, es el hardening. Este proceso consiste en utilizar las propias características de dispositivos, plataformas y aplicaciones para aumentar sus niveles de seguridad.

Visualizar ataques en tiempo real: https://cybermap.kaspersky.com/ https://www.fireeye.com/cyber-map/threat-map.html https://threatmap.fortiguard.com/ https://www.akamai.com/es/es/solutions/intelligent-platform/visualizing-akamai/real-time-web-monitor.jsp http://www.digitalattackmap.com/#anim=1&color=0&country=ALL&list=0&time=17887&view=map https://threatmap.checkpoint.com/ThreatPortal/livemap.html Captura de Pantalla 2019-04-29 a la(s) 10.52.44.png

¿Qué es un Malware?

Término que describe a un archivo que pretende hacer algo dentro de una computadora, celular, Tablet… sin el consentimiento del usuario legítimo.

Existen familias de malware como son: Gusanos, Virus, Ransomware, Spam, Hoax, Scam entre otros.

Se les denomina “Familias” porque se generan a partir de un virus mutado, esto hace referencia a que es el mismo virus que se usó anteriormente pero con algunas modificaciones para complicar la detección por los antivirus.

Virus: El principal funcionamiento de los virus, es crear un daño a la computadora infectada.

La diferencia de estos a otras amenazas, es que la mayor parte de su código se origina en un archivo llamado huésped, de este modo, cada vez que el archivo es ejecutado, primero se ejecuta el archivo y en segunda parte se ejecuta el virus.

Worms: Los gusanos a diferencia de los virus, no necesitan un huésped para permanecer infectado la computadora, su método de ataque es por medio de la red, medios extraíbles, redes sociales, redes p2p, etc. Su objetivo es ir infectando computadoras a su paso, destruir, copiar, mover, o hasta filtrar información de las computadoras por donde pasa.

Troyanos: Son programas maliciosos que proporcionan una conexión directa con la víctima, su principal objetivo es la sustracción de información.

Existen varios tipos de este malware, nombrados por su forma de operar:

  • RAT (Remote Administration Tool)
  • Banker
  • Botnet-Downloader
  • Backdoors
  • Proxy
  • Keyloggers

Ransomware: El Ransomware es un software malicioso que al infectar nuestro equipo le da al ciberdelincuente la capacidad de bloquear el PC desde una ubicación remota y encriptar nuestros archivos quitándonos el control de toda la información y datos almacenados.

Para tener en cuenta: Cyber Kill Chain Los siete pasos de Cyber ​​Kill Chain® mejoran la visibilidad de un ataque y enriquecen la comprensión de un analista de las tácticas, técnicas y procedimientos de un adversario.

Las siete fases de la Kill Chain son: Captura de Pantalla 2019-04-29 a la(s) 10.53.00.png

  • Reconocimiento: Conocer y aprender del objetivo utilizando diversas técnicas.
  • Creación del arma: Desarrollo o adecuación del código al medio sobre el que se buscará la infección.
  • Entrega: La transmisión del código malicioso a través de algún medio como email, web, usb, etc.
  • Explotación: Aprovechamiento de alguna vulnerabilidad en el software o hardware o error humano para ejecutar el software malicioso.
  • Instalación: El software malicioso se asegura de poder ejecutarse de forma permanente en el equipo infectado.
  • Comandos & Control (C2): El código malicioso se comunica a una sede central, proporcionando a los atacantes acceso remoto.
  • Exfiltración: En este punto se lleva a cabo el robo de información o el verdadero objetivo del ataque.

Más información: https://www.lockheedmartin.com/en-us/capabilities/cyber/cyber-kill-chain.html