ATAQUE DE DENEGACIÓN DE SERVICIO (DDOS)

En internet, un ataque de denegación de servicio(DDoS) es el que se realiza cuando una cantidad

considerable de sistemas atacan a un objetivo único, provocando la denegación de servicio de los
usuarios del sistema afectado. La sobrecarga de mensajes entrantes sobre el sistema objetivo fuerza su
cierre, denegando el servicio a los usuarios legítimos.

Fuente: [Link]

Top 10 de Ataques DDoS (Denial of Service o Denegación de Servicios).

1. UDP Flood (Saturación UDP).

Este ataque DDoS aprovecha el protocolo UDP (User Datagram Protocol), un protocolo de red que no
necesita una sesión iniciada en el equipo remoto. Este tipo de ataque inunda puertos aleatorios dicho
host remoto con numerosos paquetes UDP , causando que el equipo víctima compruebe ante cada
petición a cada puerto, si hay alguna aplicación escuchando en destino; y en caso de no haberla
responde con un paquete ICMP (Internet Control Message Protocol) de error de destino. Al ser el
número de paquetes enviado enormemente exagerado, este proceso agota los recursos del servidor o
equipo, y en última instancia puede conducir a la inaccesibilidad.

2. ICMP Flood (Saturación por Ping).

Similar en principio al ataque de inundación UDP, este en particular satura el recurso de destino con
solicitud de paquetes “eco” ICMP (más conocido como ping), básicamente se trata de enviar paquetes
de solicitud sin esperar los paquetes de respuesta. Este tipo de ataque puede consumir tanto ancho de
banda saliente y entrante , ya que las solicitudes intentarán ser respondidas con paquetes ICMP
mientras no paran de llegar nuevos paquetes, dando como resultado una significativa desaceleración
general del sistema, hasta lograr la caída del servicio o el reinicio de la máquina. Los ataques mediante
ICMP flood pueden ser detenidos gracias a la configuración de Listas de Control de Acceso (ACL’s) en
routers y switches.

3. Service Port Flood (Ataque sobre Puertos de Servicio).

Así como en los ataques UDP Flood se atacaban puertos aleatoriamente, en este tipo de ataques las
peticiones irán dirigidas hacia los puertos estándar en los que se conoce que habrá más volumen de
tráfico (el puerto TCP 80, por ejemplo) tanto entrante como saliente. Estamos ante un tipo de ataque
considerado de los más complejos para evitarlos o detenerlos. Por lo que deberemos implementar
herramientas específicas para esta tarea o derivar todas nuestras comunicaciones por un mitigador o
analizador de tráfico que detecte estos ataques.

4. HTTP Flood (Saturación HTTP).

En los ataques por HTTP DoS, como atacantes haremos uso de peticiones GET o POST en apariencia
válidas para atacar servidores o aplicaciones web . Aquí no usaremos paquetes con tamaños abusivos ni
nada por el estilo. Este ataque hace uso de muchísimo menos ancho de banda para inhabilitar a nuestra
víctima, o incluso tomar el control. Uno de los usos más habituales de este ataque, es el de usar la
máquina que acabamos de atacar para usar sus recursos y atacar a otros servidores o aplicaciones web;
o dicho de otra forma para comenzar a crear una botnet o seguir ampliando la que ya tenemos.

5. SYN Flood.
Así funciona la secuencia de conexión de tres pasos del protocolo SYN. Nosotros enviamos una petición
SYN para iniciar la conexión TCP que el host al que conectamos debe responder con un paquete SYN-
ACK para nosotros confirmarlo con una respuesta ACK. El ataque comienza cuando ignoramos la
petición ACK por parte de nuestro objetivo, este mantiene las conexiones abiertas a la espera de
respuesta y nosotros continuamos enviando paquetes SYN, lo que provoca que dicha máquina siga
enviando peticiones SYN-ACK; saturando así el tráfico saliente y entrante del host . Los ataques SYN
flood puede ser detenido fácilmente con la implementación de firewalls, tanto de tipo hardware como
software.
6. Slowloris
En el resto de tipos de ataques enviamos paquetes o solicitudes completas. Pero en esta ocasión, lo que
hacemos es enviar únicamente las cabeceras de las peticiones (HTTP en este caso) , sin llegar a
completar nunca una de estas al completo, con lo que cada “media-petición” que enviamos queda
abierta, a la espera de que terminemos de enviar la información restante para completarla, lo que en
poco tiempo acabará consumiendo los recursos del servidor víctima y denegando el servicio al resto de
peticiones legítimas.

7. Ping of Death (Ping ‘de la Muerte’).

Por norma general una petición ping tiene un tamaño de 32 bytes (incluida la cabecera) y los servidores
no tienen ningún problema para gestionar las peticiones y enviar la respuesta correspondiente
legítimas.

Con el conocido como “Ping de la muerte” (Ping of Death o PoD), lo que hacemos es enviar paquetes
mediante ping, pero con un tamaño mucho mayor y a mayor frecuencia de lo normal.

8. NTP Amplification (Amplificación NTP).

Este tipo de ataque es muy curioso a la par que también es bastante difícil de detener, explico el por
qué. Nosotros como atacantes realizaremos una petición a un servidor NTP (Network Time Protocol o
Protocolo en Red de Tiempo, servicio dedicado a sincronizar el reloj del sistema con diversos
servidores). Una petición realizada devolverá un paquete que contendrá las 100 últimas direcciones IP’s
que se hayan conectado a ese servidor, con un tamaño en proporción a la petición enviada de entre
1:60 a 1:200. Lo “gracioso” del ataque es que para realizar esta petición, “spoofearemos” (robaremos la
ip de nuestra víctima y la usaremos como nuestra) la ip de la máquina a la que queremos atacar,
llegando a ésta los enormes paquetes devueltos.

Si este proceso lo repetimos al estilo PoD, o bien usando una botnet, el resultado será la saturación del
servicio de la ip de nuestra víctima hasta hacer inaccesible , bien por la propia saturación del servicio,
bien porque resulte en un ‘crasheo’ del sistema.

Decía que es bastante difícil de detener porque los paquetes “atacantes” provienen de servidores lícitos
y verificados, por lo que lo único que podremos hacer es mantener el servicio ntpd lo más actualizado
posible, o si no nos es posible, restringir el proceso asociado ‘moonlist’ mediante la edición del archivo
[Link], añadiendo la directiva ‘noquery’ a las líneas de “restricción por defecto”, quedando algo como
esto:

9. Blended Flood (Ataque combinado).

Esto se da cuando múltiples tipos de ataques s e combinan en el servidor, lo cual al final termina
confundiendo al equipo . Debido a su complejidad, no pueden ser detenidos por firewalls, switches,
routers, ni dispositivos IPS (Intrusion Prevention System), a menos que lo configuremos a conciencia,
pero al ser ataques que mezclan las diferentes técnicas aquí descritas es una tarea tremendamente
compleja.

10. Zero-day DDoS Attack (Ataques ‘Día Cero’).

Los ataques “Zero-day” o “Día-Cero” no son más que ataques novedosos o desconocidos que explotan
vulnerabilidades de las cuales aún no se han publicado correcciones o parches (este término se aplica a
cualquier vulnerabilidad, pero al existir tal cantidad de ataques DoS o DDoS, lo incluyo para que se tenga
presente).

Por lo que no es nada fácil defenderse de algo de lo que prácticamente no se sabe nada . Un claro
ejemplo de ataque Zero-day pueden ser aquellos relacionados con la vulnerabilidad Stagefright de la
que ya hablamos hace unos meses ya que se trata de una vulnerabilidad conocida recientemente para la
que aún no ha salido corrección o parche oficial, pero como vimos en aquella publicación hay un par de
trucos que nos pueden ayudar a evitar que seamos afectados por un ataque.

Fuente: [Link]
servicios/
ACOSO EN INTERNET
El acoso en internet o ciberacoso es un tipo de acoso que se realiza a través de las nuevas tecnologías
incluyendo dentro de éstas: internet, tablets, dispositivos móviles, redes sociales, etc.
Suelen basarse en la divulgación de correos amenazantes, mensajes de texto desagradables, difusión de
imágenes, vídeos o rumores publicados en los perfiles de los sitios web, que dañan el honor y la
intimidad del acosado.

Hay dos tipos de acoso según si se hace de igual a igual “Ciberbulling” o cuando es un adulto el que está
ejerciendo acoso a un menor “Grooming”, el cual suele tener como finalidad el acoso sexual.

El ciberacoso no tiene porqué ser exclusivamente a menores, pero sí es la franja de edad en la que más
se da según las encuestas. También se puede dar entre adultos, en el ámbito laboral, en el familiar o en
el amoroso, siendo este último una de las formas de maltrato psicológico más extendidas últimamente
dentro de la violencia de género.

Delito de acoso ilegítimo o stalking

El delito de acoso, para ser punible, deberá realizarse a través de alguna de estas cuatro modalidades de
conducta

1. Vigilar, perseguir o buscar la cercanía física de la víctima. En estas conductas se incluyen no solo
proximidad física, sino también la utilización de medios electrónicos como cámaras o GPS.

2. Establecer o intentar establecer contacto con la víctima, utilizando para ello cualquier medio de
comunicación o terceras personas.

3. Uso indebido de datos personales para la adquisición de productos, servicios o utilizarlos para que
terceras personas se pongan en contacto con la víctima.

4. Atentar contra la libertad o el patrimonio de la víctima o de alguna persona próxima a la víctima.

Fuente: [Link]

CORREO FRAUDULENTO = PHISHING

SPAM
Se define SPAM a los mensajes no solicitados, habitualmente de tipo publicitario, enviados en forma
masiva. La vía más utilizada es la basada en el correo electrónico, pero puede presentarse por
programas de mensajería instantánea o por teléfono celular.
El Spam es el correo electrónico no solicitado, normalmente con contenido publicitario, que se envía
de forma masiva.

Algunas de las características más comunes que presentan este tipo de mensajes de correo electrónico
son:

 La dirección que aparece como remitente del mensaje no resulta conocida para el usuario, y
es habitual que esté falseada.
 El mensaje no suele tener dirección Reply.
 Presentan un asunto llamativo.
 El contenido es publicitario: anuncios de sitios web, fórmulas para ganar dinero fácilmente,
productos milagro, ofertas inmobiliarias, o simplemente listados de productos en venta en
promoción.
 La mayor parte del spam está escrito en inglés y se origina en Estados Unidos o Asia, pero
empieza a ser común el spam en español.

Aunque el método de distribución más habitual es el correo electrónico, existen diversas variantes,
cada cual con su propio nombre asociado en función de su canal de distribución:

 Spam: enviado a través del correo electrónico.

 Spim: específico para aplicaciones de tipo Mensajería Instantánea (MSN Messenger, Yahoo
Messenger, etc).
 Spit: spam sobre telefonía IP. La telefonía IP consiste en la utilización de Internet como medio
de transmisión para realizar llamadas telefónicas.
 Spam SMS: spam destinado a enviarse a dispositivos móviles mediante SMS (Short Message
Service).

Las recomendaciones para evitar el SPAM son las siguientes:

 No enviar mensajes en cadena ya que los mismos generalmente son algún tipo de engaño
(hoax).
 Si aún así se deseara enviar mensajes a muchos destinatarios hacerlo siempre Con Copia
Oculta (CCC), ya que esto evita que un destinatario vea (robe) el mail de los demás
destinatarios.
 No publicar una dirección privada en sitios webs, foros, conversaciones online, etc. ya que sólo
facilita la obtención de las mismas a los spammers (personas que envían spam).
 Si se desea navegar o registrarse en sitios de baja confianza hágalo con cuentas de mails
destinada para ese fin. Algunos servicios de webmail disponen de esta funcionalidad:
protegemos nuestra dirección de mail mientras podemos publicar otra cuenta y administrar
ambas desde el mismo lugar.
 Para el mismo fin también es recomendable utilizar cuentas de correo temporales y
descartables como las mencionadas al pie del presente.
 Nunca responder este tipo de mensajes ya que con esto sólo estamos confirmando nuestra
dirección de mail y sólo lograremos recibir más correo basura.
 Es bueno tener más de una cuenta de correo (al menos 2 o 3): una cuenta laboral que sólo sea
utilizada para este fin, una personal y la otra para contacto público o de distribución masiva.

Algunos filtros de correo funcionan efectivamente previniendo gran cantidad de SPAM, pero ninguno
funciona lo suficientemente bien como para olvidarnos de estos simples consejos.
Fuente: [Link]
INFRACCIÓN DEL DERECHO DE AUTOR
La infracción ocurre cuando una obra protegida por el derecho de autor es utilizada (reproducida,
traducida, adaptada, exhibida o interpretada en público, distribuida, emitida, o comunicada al público)
sin el permiso de los titulares de los derechos y dicho uso no está cubierto por ninguno de los límites al
derecho de autor

La infracción del derecho de autor reduce las posibilidades que tienen los autores de percibir ingresos
por sus obras, y nos perjudica a todos, ya que reduce la motivación de los autores para seguir creando
obras de las que todos podamos disfrutar.

¿Qué es el plagio?
Plagio es el acto de copiar una obra, entera o parcialmente, pretendiendo ser su autor original. Como
hemos visto en la sección anterior, las ideas en sí no están protegidas por el derecho de autor, por lo
tanto no hay nada malo en escribir sobre una idea que encontramos en otra obra. Sin embargo, para
evitar el plagio, tenemos que expresar la idea de una manera personal y única.

A veces un autor ha expresado una idea tan bien que no la podemos expresar mejor con nuestras
propias palabras. En estos casos, podemos copiar el texto original palabra por palabra siempre que se
ponga entre comillas. Estas comillas informan al lector de que este texto específico está tomado de la
obra de otro autor. Hay que mencionar al autor original en el texto, antes o después de la
cita, o con una nota a pie de página.

La mayoría de los colegios, universidades y empresas tienen reglas estrictas contra el plagio. Aunque sea
fácil, por Internet, copiar y pegar la obra de otra persona y decir que es de uno, las consecuencias del
plagio pueden ser muy serias.

Fuente: [Link]
696ddd58ed8c/[Link]

ESCANEO DE PUERTOS
El escaneo de puertos es una técnica usada por hackers y administradores (sin animo de hacer
distinciones) para auditar maquinas y redes con el fin de saber que puertos están abiertos o cerrados,
los servicios que son ofrecidos, chequear la existencia de un firewall así como verificaciones sobre el
funcionamiento del mismo y algunas otras cosas.

Fuente: [Link]
port_scann1ng_nmap_hxc.pdf

Diferentes técnicas de escaneo de puertos

Debido a los diferentes tipos de protocolos, los numerosos puertos que pueden estar escuchando, y a
los dispositivos empleados para evitar o detectar el escaneo de puertos, han surgido diferentes técnicas
las cuales tienen sus ventajas como desventajas. A continuación veremos algunas de las distintas
técnicas que hoy día conocemos:

 TCP connect() scanning: esta es la forma mas popular de escaneo TCP y consiste básicamente
en usar la llamada a sistema connect() del sistema operativo, si se logra establecer la conexión
con el puerto de la otra computadora entonces este puerto esta abierto. Las ventajas que tiene
esta forma de escaneo es que no se necesita ningún privilegio especial para poder llevarla a
cabo, en la mayoría de los Unix cualquier usuario puede hacer uso de la llamada connect(). Otra
gran ventaja es la velocidad. El lado negativo que encontramos es que es muy fácil de detectar
y de filtrar, y generalmente el host loguea que establecemos una conexión e inmediatamente
nos desconectamos.

 TCP SYN scanning: esta técnica es la llamada escaneo "half-open" (o mitad-abierta), porque no
establecemos una conexión TCP completa. Lo que hacemos es enviar un paquete SYN como si
 fuéramos a entablar una conexión TCP completa y esperamos por una respuesta. Podemos
recibir un SYN|ACK si el puerto esta escuchando o un RST si el puerto esta cerrado. Si recibimos
un SYN|ACK en respuesta, inmediatamente le enviamos un RST. La mayor ventaja de esta
técnica es que muy pocos servers nos loguean; y la desventaja es que se necesita privilegios de
root para construir estos paquetes SYN a enviar.

 TCP FIN scanning: algunos firewalls y packets filters escuchan por los paquetes SYN en algunos
puertos, y programas como el synlogger pueden detectar este tipo de escaneo. En cambio los
paquetes FIN pueden penetrar sin mayor problemas. La idea consiste en que al enviar un
paquete FIN si el puerto esta cerrado nos va a devolver un RST, y si el puerto esta abierto nos
va a ignorar. Esto se debe a un error en las implementaciones TCP pero no funciona en un
100%. La mayoría de los sistemas parecen susceptibles excepto los sistemas Microsoft que son
inmunes (aunque usted no lo crea).

 Fragmentation scanning: esta no es una técnica en si misma, sino una modificación de otras
técnicas. Consiste en hacer una división de los paquetes que enviamos, para no ser detectados
por los packet filters y los firewalls. Por ejemplo podemos hacer un SYN o un FIN scanning
fragmentando los paquetes que enviamos, y al ir quedando en cola en los firewalls y en los
packet filters no somos detectados.

 TCP reverse ident scanning: el protocolo ident permite averiguar el nombre de usuario y el
dueño de cualquier servicio corriendo dentro de una conexión TCP. Por ejemplo podemos
conectarnos al puerto http y usar identd para averiguar que esta corriendo la victima como
root; esto solo es posible estableciendo una conexión TCP completa.

 FTP bounce attack: algo interesante del protocolo ftp, es que permite lo que se llama conexión
proxy ftp. O sea, yo podría conectarme a un ftp desde un servidor proxy y al hacer esto
establecer una conexión y enviar un archivo a cualquier parte de la Internet. Esto lo podemos
aprovechar también para hacer por ejemplo un escaneo TCP, ya que estaríamos haciéndolo
desde un servidor ftp pero detrás de un firewall. Lo bueno que tiene esta técnica es
obviamente que es muy difícil de rastrear, y lo malo es que puede volverse sumamente lento.

 UDP ICMP port unreachable scanning: Lo que varia significativamente de esta técnica con
respecta a las otras es que estamos usando el protocolo UDP, este protocolo puede ser mas
simple que el TCP pero al escanear se vuelve sumamente mas complejo; esto se debe a que si
un puerto esta abierto no tiene que enviarnos un paquete de respuesta, y si un puerto esta
cerrado tampoco tiene que enviarnos un paquete de error. Afortunadamente, la mayoría de los
hosts nos envían un paquete de error "ICMP_PORT_UNREACH" cuando un puerto UDP esta
cerrado. Esta técnica suele volverse muy lenta.

Fuente: [Link]

GESTIÓN DE VULNERABILIDADES
La gestión de vulnerabilidades es el proceso de identificar brechas de seguridad en el software y,
después, parchear para prevenir el acceso no deseado a sistemas y datos confidenciales.

Definición de gestión de vulnerabilidades

La gestión de vulnerabilidades de TI es un ciclo que abarca la supervisión, clasificación y reparación
continuas de las debilidades del sistema. El ciclo incluye el desarrollo de políticas de seguridad,
detección e inventario de activos, supervisión de perímetros y evaluación y priorización de amenazas.
Los asignadores y escáneres de red, puertos e IP, junto con sistemas de alertas, se pueden emplear con
esta finalidad. Las redes que son seguras en este aspecto se definen a menudo como "redes" reforzadas.

¿Por qué es importante la gestión de vulnerabilidades?

Dado que los atacantes están constantemente al acecho de debilidades de la red, la gestión de
vulnerabilidades es un componente esencial de un programa de seguridad de la red completo. Junto con
soluciones de perímetro como firewalls, antivirus y sistemas de detección de intrusión, las soluciones de
gestión de vulnerabilidades pueden ayudar a prevenir el acceso no deseado a sistemas y datos
confidenciales.

Un buen sistema de gestión de vulnerabilidades le ayudará a eliminar las debilidades internas al

priorizar la protección de sus activos más importantes. Cuando funciona un sistema de gestión de
vulnerabilidades, los hackers no pueden atacar los sistemas y datos más importantes incluso si logran
acceder a su red.

Fuente: [Link]

INTRUSIÓN
Intrusión es cualquier conjunto de acciones que intentan comprometer la integridad, confidencialidad o
disponibilidad de una información o un recurso.
Normalmente una intrusión intenta:
 Acceder a una determinada información.
 Manipular cierta información.
 Hacer que el sistema se no funcione de forma segura o inutilizarlo.
Una intrusión es la violación de la política de seguridad del sistema. Los intrusos pueden utilizar fallos en
la arquitectura de los sistemas y el conocimiento interno del sistema operativo para superar el proceso
normal de autentificación. Existen diferentes tipos de intrusiones que pueden afectar a un determinado
sistema

 Intentos de entrada: una persona ajena a nuestro sistema intenta acceder de forma no
autorizada al mismo. Se detectan normalmente por modelos de comportamiento atípicos, o
violaciones de las restricciones dadas por la política de seguridad.
 Ataque enmascarado: a partir de un usuario del sistema se intenta un ataque al mismo, es
detectado a partir de modelos de comportamiento atípico o violaciones de constraints de
seguridad.
 Penetraciones en el sistema se control: que son normalmente detectadas a partir de la
observación de modelos especiales de actividad.
 Fuga: cuando se utilizan de manera excesiva los recursos de un sistema. Se detectan
normalmente por usos anormales de los recurso de E/S.
 Rechazo de servicio: detectados por uso atípico de los recursos del sistema.
 Uso malicioso: detectado normalmente por modelos de comportamiento atípico, violaciones
de las restricciones de seguridad, o uso de privilegios especiales.

Esta clasificación se basa en el efecto de las intrusiones y la forma de llevarlas a cabo.

Fuente: [Link]

EXPLOTACIONES
El término explotación se utiliza comúnmente para describir un programa de software que ha sido
desarrollado para atacar un activo al aprovecharse de una vulnerabilidad. El objetivo de muchas
explotaciones es obtener el control sobre un activo. Por ejemplo, una explotación exitosa de una
vulnerabilidad de una base de datos puede brindar a un atacante los medios para recopilar o exfiltrar
todos los registros de la base de datos. El uso exitoso de explotaciones de este tipo se denomina
filtración de datos. Las explotaciones también se desarrollan para atacar a un sistema operativo o la
vulnerabilidad de una aplicación para obtener privilegios administrativos o de "ejecución" remotos en
un equipo portátil o servidor. (Éste es un objetivo común de malware, que analizaremos en una
publicación futura)

No todas las explotaciones implican software y no es correcto clasificar todos los ataques basados en
explotaciones como hackeo. Las estafas informáticas - ingeniería social que induce a una persona o un
empleado a divulgar información personal o confidencial - son un tipo de explotación de larga data que
no requiere habilidades de hackeo.

Fuente: [Link]

ACCESO NO AUTORIZADO A SISTEMAS INFORMÁTICOS

El acceso no autorizado a un sistema informático, según los autores chilenos Marcelo Huerta y Claudio
Líbano, consiste en acceder de manera indebida, sin autorización o contra derecho a un sistema de
tratamiento de la información, con el fin de obtener una satisfacción de carácter intelectual por el
desciframiento de los códigos de acceso o passwords, no causando daños inmediatos y tangibles en la
víctima, o bien por la mera voluntad de curiosear o divertirse de su autor.

Se conoce como `Hacker´, término de origen inglés, a los autores de estas acciones de violación de
programas y sistemas supuestamente considerados impenetrables.

El hacker no se conforma con una conducta inicial de acceso no autorizado al sistema. Puede derivar
eventualmente a acciones de:

sabotaje informático, que consiste en borrar, suprimir o modificar sin autorización funciones o datos de
computadora con intención de obstaculizar el funcionamiento normal del sistema
fraude informático que supone el cambio de datos o informaciones contenidas en la computadora en
cualquier fase de su procesamiento o tratamiento informático, en el que media ánimo de lucro y genera
perjuicio a terceros.

espionaje informático o fuga de datos que consiste en obtener no autorizadamente datos almacenados
en un fichero automatizado, en virtud de lo cual se produce la violación de la reserva o secreto de
información de un sistema de tratamiento automatizado de la misma.

Entre los diferentes métodos preferidos se pueden encontrar: (3)

 Puertas falsas. Consiste en aprovechar los accesos o “puertas de entrada” que sirven para hacer
la revisión o la recuperación de información en caso de errores del sistema

 Llave maestra (Superzapping). Es el uso no autorizado de programas para modificar, destruir,

copiar, insertar, utilizar o impedir el uso de datos archivados en un sistema informático. El
nombre proviene de un programa de utilidad que se llama superzap, que permite abrir
cualquier archivo de una computadora aunque se halle protegido por medidas de seguridad.

 Pinchado de líneas. Se realiza a través de la interferencia de las líneas telefónicas o telemáticas

a través de las cuales se transmiten las informaciones procesadas en las bases de datos
informáticas.

Fuente: [Link]
ROBO DE INFORMACIÓN
Toda la información que viaja por la web, sin las medidas de precaución necesarias, corre el riesgo de
ser interceptada por un tercero. De igual modo, existen también ataques con esta finalidad. La
información buscada, normalmente apunta a los datos personales. Un paso en falso ante este tipo de
incidentes, puede exponer al menor de edad a la pérdida de dinero familiar o al robo de identidad.

Fuente: [Link]

TAMPERING O DATA DIDDLING

Esta categoría se refiere a la modificación desautorizada de los datos o el software instalado en el
sistema víctima (incluyendo borrado de archivos). Son particularmente serios cuando el que lo realiza ha
obtenido derechos de Administrador o Supervisor, con la capacidad de disparar cualquier comando y
por ende alterar o borrar cualquier información que puede incluso terminar en la baja total del sistema.
Aún así, si no hubo intenciones de "bajar" el sistema por parte del atacante; el Administrador
posiblemente necesite darlo de baja por horas o días hasta chequear y tratar de recuperar aquella
información que ha sido alterada o borrada.

Como siempre, esto puede ser realizado por Insiders o Outsiders, generalmente con el propósito de
fraude o de dejar fuera de servicio a un competidor.
Son innumerables los casos de este tipo: empleados bancarios (o externos) que crean falsas cuentas
para derivar fondos de otras cuentas, estudiantes que modifican calificaciones de exámenes, o
contribuyentes que pagan para que se les anule una deuda impositiva.
Múltiples Web Sites han sido víctimas del cambio en sus páginas por imágenes (o manifiestos)
terroristas o humorísticos, como el ataque de The Mentor, ya visto, a la NASA; o la reciente modificación
del Web Site del CERT (mayo de 2001).

Otras veces se reemplazan versiones de software por otros con el mismo nombre pero que incorporan
código malicioso (virus, troyanos, etc.). La utilización de programas troyanos y difusión de virus esta
dentro de esta categoría, y se profundizará sobre el tema en otra sección el presente capítulo.

Fuente: [Link]

MAL USO DE RECURSOS

Analistas estiman que esto causa pérdidas de millones de dólares anuales a las compañías. Y si los
empleados, queriendo o sin querer, ayudan a realizar ataques de hacking o robo de identidad, causan
daños a la reputación de la compañía o infringen sus derechos de autor, los costes pueden ser aún más.

El hecho es que los empleados a menudo utilizan los equipos de la oficina para comunicarse en sitios de
redes sociales, compartir enlaces o descargar archivos de sitios sospechosos. Además, los
cibercriminales a menudo usan los sitios de redes sociales para estafar a los usuarios con ataques
phishing y distribuir malware. Muchos blogs personales, sitios de entretenimiento, servicios para
compartir archivos, rastreadores de Torrent y archivos descargados por este medio están infectados.

Las amenazas que los usuarios enfrentan cada día suelen ser ataques que se distribuyen de forma
masiva, por lo que una solución antivirus basta para prevenir la mayoría de los accidentes. Los ataques
dirigidos son diferentes: se realizan en secreto, a menudo utilizando técnicas extraordinarias; son muy
sofisticados y organizados. Para lograr sus metas, los usuarios fraudulentos utilizan la herramienta más
efectiva para explotar cualquier programa o vulnerabilidad social.

La ingeniería social
En 2009, más de 20 importantes compañías de informática, como Google, Adobe, Juniper y Yahoo!,
fueron víctimas del ataque dirigido conocido como Operación Aurora. En una versión de este ataque, se
convenció a los empleados de una compañía para que ingresaran a sitios maliciosos mediante redes
sociales y clientes de mensajería instantánea. Usando técnicas de ingeniería social, los estafadores se
pusieron en contacto con sus víctimas potenciales, ganaron su confianza e hicieron todo lo necesario
para lograr que abran un enlace.

Cuando una cuenta se prepara de forma tan minuciosa, es muy probable que la víctima potencial caiga
en la trampa y pulse en un enlace sospechoso. Si esto falla, el estafador puede tratar de usar un truco
más sofisticado: irrumpir en la cuenta de un usuario en quien la víctima confíe y enviarle los enlaces
desde allí. Esto no suele ser difícil de lograr, en especial si entre los contactos de confianza de la víctima
hay usuarios vulnerables como niños, ancianos o adolescentes. Está claro que, al comunicarse por redes
sociales desde el equipo de la oficina, los empleados pueden, sin darse cuenta, ayudar a los hackers a
penetrar en la red corporativa.

Ataques “watering hole”

Además de los ataques dirigidos mediante redes sociales, los ataques llamados “watering hole” (pozo
de agua) no son menos peligrosos. La idea básica de este tipo de ataques es encontrar e infectar los
sitios que frecuentan los empleados de la compañía por cuestiones de trabajo con regularidad. Los
estafadores tratan de infectar sitios web legítimos y de confianza. En estos casos se requiere que los
usuarios den pasos adicionales para ejecutar el exploit – enciendan JavaScript, permitan la ejecución del
applet Java para confirmar la excepción de seguridad, etc.- pero aun así pueden llegar a pulsar en los
botones “Aceptar” y “Confirmar” sin darse cuenta de la gravedad de sus acciones.

Protección

Es obvio que los usuarios juegan un rol importante en los ataques dirigidos: sin darse cuenta, permiten
que los estafadores ataquen el sistema. Por desgracia, en la actualidad no existe ninguna tecnología que
pueda eliminar el error humano de la seguridad de las redes corporativas. Pero es posible utilizar
algunas tecnologías relevantes para reforzar las políticas de seguridad y proteger contra ataques
dirigidos al combatirlos en cada una de sus etapas: desde el primer intento de explotar una
vulnerabilidad hasta los intentos de comprometer la red.

Políticas de seguridad

Por desgracia, en la actualidad no existe ninguna tecnología que pueda eliminar el error humano de la
seguridad de las redes corporativas. Pero es posible utilizar algunas tecnologías relevantes para reforzar
las políticas de seguridad y proteger contra ataques dirigidos al combatirlos en cada una de sus etapas:
desde el primer intento de explotar una vulnerabilidad hasta los intentos de comprometer la red.

Para proteger a la red corporativa, Kaspersky Lab recomienda que los administradores de sistema y
especialistas en seguridad apliquen las siguientes medidas de protección administrativa:

 Protección contra exploits

 Control de tráfico de red
 Control de aplicaciones
 Codificación de archivos

Aun así, ninguna de estas tecnologías son suficientes por si solas para prevenir un ataque dirigido.
Para proteger la red corporativa, todas estas tecnologías deben estar bien integradas y cuidadosamente
calibradas. Paralelamente, los administradores de sistema y especialistas en seguridad también deben
usar medidas de protección administrativa:

 La educación de los usuarios:

 Conocer y cumplir las políticas de seguridad de la compañía
 Comprender las posibles consecuencias de las amenazas de Internet
 Informar al servicio de seguridad sobre cualquier incidente que se presente
 Control sobre los derechos de acceso y privilegios de los usuarios:
 Cualquier derecho y privilegio debe concederse sólo cuando sea necesario
 Todos los derechos y privilegios (el acceso) que se concede a los usuarios deben registrarse
 Analizar los sistemas en busca de vulnerabilidades y servicios de red en desuso:
 Detectar y analizar servicios de red y aplicaciones vulnerables
 Actualizar componentes y aplicaciones vulnerables. Si no están actualizados, los programas
vulnerables deben restringirse o prohibirse.

Fuente: [Link]