SAD02.- Implantación de mecanismos de segur... [Link]

SAD02.- Implantación de mecanismos de seguridad activa.

SAD02.- Implantación de mecanismos de seguridad activa.

Caso práctico
Hoy Juan ha acudido a una feria de muestras, para promocionar su empresa, se ha llevado con él a
María para que conozca un poco más del sector. Después de ver varios expositores ha descubierto
que la competencia hace mucha publicidad de los sistemas informáticos que utilizan en sus
instalaciones.

—¿Has visto que todos hablan de sus instalaciones informáticas?

—Sí, pero veo que casi ninguno hace referencia a que su sistema sea seguro.

—¿Seguro? ¿Qué tiene que ver la informática con la seguridad?

—Mucho, es muy importante que un sistema sea seguro y esté preparado contra cualquier ataque.

—¿Ataque de quién? ¿Qué es lo que se puede hacer?

—¡Te voy a contar todo lo que podemos hacer contra los intrusos informáticos!

—¿Intrusos?

—Sí, personas que se dedican a intentar asaltar los equipos informáticos de otros para aprovecharse de ellos.

—¡Lo que nos faltaba!

—No te preocupes Juan, he estado analizando los ataques que podemos sufrir y las medidas para contrarrestarlos.
Además, tener una red segura nos hará ser más competitivos y tendremos más con�anza por parte de nuestros
clientes.

—¿Mejorará nuestra imagen y nuestra seguridad al tiempo?

—Claro, imagínate que nuestros clientes descubrieran que nuestro sistema informático permite que alguien pueda
sacar información desde Internet, por ejemplo, sus datos personales.

—Cuando volvamos a la o�cina, me cuentas todo eso de las medidas para contrarrestar los ataques, ahora vamos a
acabar de ver las novedades que hay por aquí.

1 de 61 10/10/20 11:55
SAD02.- Implantación de mecanismos de segur... [Link]

1.- Ataques y contramedidas en sistemas personales.

Caso práctico
De vuelta en la o�cina Juan sigue dándole vueltas a todo lo que ha visto en la feria y se ha
dado cuenta de que su competencia parece que dedica bastantes recursos a mejorar las
instalaciones informáticas. Para poder ser competitivo se está dando cuenta de que el
sistema informático debe ser una parte importante de su empresa, el contratar a María
parece que fue una buena idea.

—¿Me cuentas un poco lo de los ataques de los intrusos?

—Bien, un momento, ahora voy y te hago un pequeño resumen.

María le contará a Juan los tipos de ataques que puede sufrir el sistema informático y las técnicas que utilizan, así como
los ataques por los que más debería preocuparse.

—A nosotros nos deben preocupar sobre todo los ataques en los que intenten robarnos contraseñas.

—Sobre todo las de las cuentas bancarias.

—Por eso no debes contestar nunca a un correo sospechoso.

—Ya, ya...

—También debemos evitar ataques que intenten manipular nuestra base de datos.

—¿Pueden hacerlo?

—Sí, imagínate que nuestra competencia fuera capaz de visualizar todo lo que tenemos registrado.

—No tenía ni idea de que se pudiera hacer esto.

Antes de enseñar a Juan como evitar los ataques, María describirá de manera sencilla la anatomía de los ataques y
pasará después a contarle cuales son las herramientas preventivas y paliativas que se pueden utilizar.

—Esto es como ser un médico, antes de enfermar hay que prevenir y si se ha enfermado, habrá que curar lo antes
posible.

—¡Ya lo veo!

La seguridad informática es un proceso en el que intervienen todos los activos de un sistema informático. Dependiendo de la
manera de tratar a estos activos se puede hacer una clasi�cación de la seguridad como:

Física o lógica.

Activa o pasiva.

Diferenciar entre seguridad física y seguridad lógica es relativamente sencillo, si se piensa en la parte hardware (física) y la
parte software (lógica) del sistema. En cuanto a la seguridad activa o pasiva, se dice que se emplean mecanismos de seguridad
activa cuando estos tienen como objetivo evitar daños en el sistema, y son de seguridad pasiva cuando dichos mecanismos se
emplean para minimizar los daños causados por un incidente de seguridad.

El objetivo de la seguridad de un sistema (y para los informáticos también) es que el sistema permanezca en condiciones
óptimas, no sufra ataques y si se llevan a cabo dichos ataques, minimizar los daños y reconstruir el sistema lo antes posible.

2 de 61 10/10/20 11:55
SAD02.- Implantación de mecanismos de segur... [Link]

Un ataque en un sistema informático es la materialización de una amenaza. Siempre que haya amenazas, el sistema es
vulnerable. Los mecanismos de seguridad activa tienen como objetivo proteger al sistema contra los ataques para conseguir que
el sistema sea lo más seguro posible (invulnerable).

Prevenir un ataque es una medida de seguridad activa y minimizar los daños producidos por un ataque es una medida
de seguridad pasiva.

(link: SAD02_CONT_R03_ATAQUE1.JPG )

Un ataque informático es cualquier acción que tiene como �nalidad desestabilizar el funcionamiento
de un sistema informático, para ello se aprovecha de cualquier vulnerabilidad en alguno de sus
activos (hardware, software, datos o personas). Para anular los ataques se utilizan las
contramedidas.

El que no aparezcan los caracteres de una contraseña cuando se escribe es una contramedida contra un posible ataque
para descubrirla cuando la estamos tecleando.

Autoevaluación
La diferencia entre seguridad activa y pasiva es que:
(link: )
La seguridad activa es lógica y la pasiva física.
(link: )
La activa se emplea para evitar daños y la pasiva para minimizarlos.
(link: )
No hay diferencia, de hecho hay aplicaciones que se utilizan tanto para prevenir como para paliar.
(link: )
La activa minimiza los daños y la pasiva previene.

(link: )
Correcto. La seguridad activa previene y la pasiva palía.

3 de 61 10/10/20 11:55
SAD02.- Implantación de mecanismos de segur... [Link]

1.1.- Clasificación de los ataques.

Los ataques se pueden clasi�car básicamente en dos grupos considerando el efecto que producen en el sistema en:

Activos.

Pasivos.

Los ataques pasivos no producen cambios, se limitan a

extraer información y en la mayoría de los casos el afectado
no percibe el ataque.

Los ataques activos producen cambios en el sistema. Si se

profundiza más en los tipos de ataques nos podremos
encontrar una gran variedad de ellos.

(link: SAD02_CONT_R04_ATAQUE0.jpg )

Reconocimiento de sistemas.

Aprovechamiento de las vulnerabilidades del sistema.

Robo de información por interceptación de mensajes.

Suplantación de identidad.

Modi�cación del trá�co y las tablas de enrutamiento.

Cross-site Scripting.

Inyección de código SQL.

Contra usuarios y contraseñas.

Autoevaluación
Un ataque se clasi�ca como activo o pasivo:

(link: )
Tomando como criterio el efecto que produce en el sistema.
(link: )
Dependiendo del tipo de seguridad que tenga el sistema.
(link: )
Dependiendo del tiempo en el que se produce.
(link: )
Si roba información o no.

(link: )
Correcto. Es activo si produce cambios en el sistema y pasivo si no los produce.

4 de 61 10/10/20 11:55
SAD02.- Implantación de mecanismos de segur... [Link]

1.1.1.- Reconocimiento de sistema.

Los ataques de reconocimiento de sistemas no provocan un daño

apreciable, y su objetivo principal es la obtención de información del
sistema. Una de las técnicas empleadas es el escaneo de puertos, con este
ataque se puede ver que servicios se ofrecen en nuestro equipo, los
puertos activos y las aplicaciones que se están ejecutando, toda esta
información es muy valiosa para un atacante. Para realizar un escaneo de
puertos existen muchas aplicaciones, muchas de ellas disponibles on-line.

A parte del escaneo de puertos existen otras técnicas que permiten extraer
información de un sistema, un ejemplo es whois. Con esta herramienta se
(link: SAD02_CONT_R05_WHOIS.jpg ) pueden conocer datos a partir de una URL o una dirección IP.

Para saber más

En el siguiente enlace podrás aprender más cosas sobre whois.

Whois (link: [Link] )

5 de 61 10/10/20 11:55
SAD02.- Implantación de mecanismos de segur... [Link]

1.1.2.- Aprovechamiento de las vulnerabilidades.

Los ataques que aprovechan las vulnerabilidades del

sistema se basan en programas que se diseñan de
manera especí�ca para aprovechar una determinada
vulnerabilidad, estos programas reciben el nombre de
exploits. Los exploits suelen ser programas escritos en
lenguajes como C que son capaces de operar en el
sistema atacado y causarle un mal funcionamiento. Están
(link: SAD02_CONT_R06_EXPLOIT-[Link] ) formados por una serie de órdenes que entienden los
sistemas operativos junto con un código que es el que
realmente causa el daño. Aunque para crear exploits se han de tener conocimientos altos de programación, existen muchos
sitios webs en los que se ofrece la posibilidad de conseguir exploits ya creados.

En la imagen se puede ver parte del código de un exploit que explota las vulnerabilidades de un navegador, en este caso está
escrito en el lenguaje JavaScript.

6 de 61 10/10/20 11:55
SAD02.- Implantación de mecanismos de segur... [Link]

1.1.3.- Interceptación de mensajes.

Otro tipo de ataque es el constituido por los robos de información por interceptación de mensajes.
La interceptación de mensajes es un tipo de ataque que tiene como objetivo el robo de
información, no se puede hacer mucho para impedir la interceptación porque cualquiera puede
interceptar cualquier dato que se envíe a través de Internet, puesto que es una red pública, pero lo
que es más difícil es interpretar lo que se intercepta.

Un correo electrónico no tiene garantías de privacidad, puede ser interceptado en cualquier punto de su viaje a
través de Internet.

Es necesario encriptar toda la información que se envíe por correo electrónico y considere vital su privacidad.

Los servidores de correo pueden guardar copias de todos los correos que se envíen, por lo que cualquiera que
tenga acceso a dichos servidores podrá acceder a dichos correos.

Una solución es encriptar dicho correo, por ejemplo, con PGP y S\MIME. Tanto PGP y S\MIME se utilizan para cifrar solamente el
contenido del mensaje, dejando sin protección encabezados de los mensajes. PGP utiliza dos claves, una pública y otra privada.
Tanto el emisor como el receptor deberán compartir una clave pública, además, cada uno de ellos (emisor y receptor) tendrán
una clave privada que utilizarán junto a la clave pública para poder encriptar y desencriptar la información.

7 de 61 10/10/20 11:55
SAD02.- Implantación de mecanismos de segur... [Link]

1.1.4.- Suplantación de la identidad I.

La suplantación de la identidad es otro tipo de ataque en el que:

Se enmascaran las direcciones IP (IP Spoo�ng).

Se produce una traducción falsa de los servidores DNS (DNS Spoo�ng).

Se produce un envío de mensajes con remitentes falsos (SMTP Spoo�ng).

Se capturan nombres de usuario o contraseñas.

El IP Spoo�ng consiste en sustituir la dirección IP origen de un paquete TCP/IP por otra dirección IP.
Esto se consigue mediante aplicaciones diseñadas especí�camente para este propósito. Una de estas
herramientas es nmap.

Sitio o�cial de nmap (link: [Link] )

Con la siguiente orden ejecutada desde la shell de Linux, se falsea la dirección [Link] con la [Link] para la interfaz
eth0:

root@linux-vbox:/home/tomas# nmap -e eth0 -S [Link] [Link]

Si se falsea la IP en una consulta DNS, el proceso se denomina DNS Spoo�ng, se asigna una dirección falsa a un nombre DNS o
viceversa. El atacante consigue llevar a la víctima a una dirección no deseada.

Sitio o�cial de ettercap (link: [Link] )

Utilizando la herramienta ettercap se puede hacer una simulación de un ataque DNS Spoo�ng. Los pasos siguientes
realizados en una instalación de Linux basado en Debian (Ubuntu,Mint), consiguen redireccionar la dirección URL a la IP
que se ponga como destino.

Editar el archivo [Link] que se encuentra en /usr/share/ettercap/

Se añade la URL que se verá en la IP destino:

[Link] A IPdestino

Se ejecuta ettercap:

ettercap –T –q –i eth0 –P dns_spoof –M arp // //

Parámetros utilizados:

-T text mode

-q quiet

-i interface

-P dns_spoof: plugin + el nombre del plugin (dns_spoof de ettercap)

8 de 61 10/10/20 11:55
SAD02.- Implantación de mecanismos de segur... [Link]

-M arp: ManInTheMiddle ARP

// // : Todas las maquinas de la red

Con el SMTP Spoo�ng se falsi�ca el origen los mensajes, cualquier servidor de correo que acepte conexiones en el puerto 25
está expuesto a este tipo de ataques. La consecuencia es que alguien puede estar enviando correos electrónicos desde una
cuenta ajena. Uno de los indicios de haber sufrido un ataque de este tipo es recibir correos que parecen venir de uno mismo. En
algunos casos, lo que ocurre no es spoo�ng a través de un servidor SMTP, sino que alguien accede a la cuenta de correo y a los
correos como si fuera el dueño legítimo de dicha cuenta.

Se puede enviar un correo simulando ser otro usuario siguiendo los siguientes pasos:

Conectarse mediante telnet por el puerto 25, al servidor de correo donde está alojada una cuenta legítima.

telnet [Link] 25

Escribir las siguientes sentencias:

MAIL FROM:tomas@[Link] (cuenta que puede ser inventada)

RCPT TO:[Link]@[Link] (cuenta legitima donde poder verificar)

DATA

TO:[Link]@[Link]

FROM:tomas@[Link]

Hola esto es una prueba desde una cuenta que no existe

Adiós

9 de 61 10/10/20 11:55
SAD02.- Implantación de mecanismos de segur... [Link]

[Link].- Suplantación de la identidad II.

Esto funciona en muchos servidores de correo. Cuando el usuario de correo [Link]@[Link], descarga el
correo ve un mensaje que proviene de tomas@[Link].

En la imagen se puede ver como el mensaje parece venir de la dirección tomas@[Link], que obviamente no existe. En este
caso es fácil ver que algo va mal, pero si las direcciones son parecidas a direcciones reales distinguir el engaño es más difícil.

El robo de usuarios y contraseñas para suplantar la identidad se puede hacer de varias formas, una de las más comunes es la
utilización de la ingeniería social. Ejemplo de este tipo de técnica es el phising, donde a través de la ingeniería social se intenta
conocer los datos bancarios o de tarjetas de crédito. La táctica del phising suele ser enviar un correo electrónico a un cliente con
una dirección URL muy parecida a la entidad bancaria, en este correo se requieren las claves o número de la cuenta bancaria
para poder actualizarlas o algo parecido.

En la imagen se ve un mensaje típico empleado en las técnicas de phising.

Si el usuario ejecuta el hipervínculo "Clique Aquí", no sabrá que le espera y lo más seguro es que acceda a un sitio con una
apariencia similar a la que utiliza habitualmente, donde se le requerirán datos con�denciales que permitirán al atacante causarle
un daño económico.

(link:
SAD02_CONT_R09_SPOOFING.JPG ) (link: SAD02_CONT_R10_PHISHING-LA-
[Link] )

Autoevaluación
Falsear una IP se utiliza siempre que:

(link: )
Se produzca IP Spoo�ng .
(link: )
Se produzca SMTP Spoo�ng .
(link: )
Recibamos mensajes de nuestra propia dirección de correo.
(link: )
Se produzca IP Spoo�ng o un DNS Spoo�ng .

(link: )
Correcto. Si se falsea la IP en la consulta DNS se puede producir DNS Spoo�ng .

10 de 61 10/10/20 11:55
SAD02.- Implantación de mecanismos de segur... [Link]

1.1.5.- Modificación del tráfico y las tablas de enrutamiento.

Este tipo de ataques consiguen variar la ruta de los paquetes en la red. Pueden hacerlo inter�riendo
en protocolos de rutas predeterminadas o tablas de enrutamiento. Para conseguir esto existen
métodos como el envío de paquetes ICMP Redirect.

Este tipo de paquetes los emplean los routers para indicar a los demás que existen otras rutas
alternativas sin pasar por él.

En una red estos tipos de paquetes deben ser �ltrados con sumo cuidado porque pueden ser la
causa de ataques "man in the middle" (MitM).

Para saber más

En el siguiente enlace podrás ver en qué consiste un ataque "man in the middle".

Man in the middle (link: [Link] ) .

En la mayoría de los dispositivos que intervienen en una red se puede deshabilitar que acepten paquetes ICMP Redirect: 

En una distribución Linux basado en Debian agregando la siguiente línea al archivo /etc/[Link] :

[Link].accept_redirects = 0

También en:

root@linux-vbox:/proc/sys/net/ipv4/conf/eth0/accept_redirects
root@linux-vbox:/proc/sys/net/ipv4/conf/eth0/secure_redirects

En algunos routers con la siguiente línea de órdenes:

router(config)# interface E0
router(config-if)#no ip redirects

Para poder enviar mensajes ICMP Redirect se puede emplear la herramienta hping . 

Esta herramienta tiene muchos parámetros que se pueden consultar con la ayuda en línea:

root@linux-vbox:/# hping3 –h

La siguiente sentencia ejecutada en una shell de Linux envía un paquete ICMP Redirect, al host [Link], para
éste, el emisor será [Link]. Con esta sentencia se le indica que para poder llegar al [Link] debe pasar
antes por el [Link].

root@linux-vbox:/# hping3 -I eth0 -C 5 -K 1 -a [Link] --icmp-ipdst [Link] --icmp-gw [Link]

[Link]

DEBES CONOCER

11 de 61 10/10/20 11:55
SAD02.- Implantación de mecanismos de segur... [Link]

Se puede utilizar hping3 para modi�car la tabla de enrutamiento de un equipo víctima como ya se ha visto en el ejemplo
anterior. 

hping3 manual de utilización (link: [Link]

manipular-paquetes-tcp-ip/ )

12 de 61 10/10/20 11:55
SAD02.- Implantación de mecanismos de segur... [Link]

1.1.6.- Cross-site scripting.

Es un tipo de ataque, también denominado XSS, que se produce cuando se ejecutan scripts diseñados en lenguajes como VBS y
JavaScript en páginas web. Se producen sobre todo cuando se envían cadenas de texto entre formularios de páginas web
dinámicas.

Si en el código de una página web tenemos escrito:

<!DOCTYPE html PUBLIC "-//W3C//DTD HTML 4.01 Transitional//EN">

<html>
<head>
<meta content="text/html; charset=ISO-8859-1"
http-equiv="content-type">
<title>cross-site</title>
</head>
<body>
Hola
&nbsp;esta p&aacute;gina contiene un script que os saluda.
<script>alert('Hola mi nombre es Tomás Fernández Escudero')</script><br>
</body>
</html>

Al visualizar dicha página con un navegador, se obtendría el

siguiente resultado:

En la imagen se puede ver el efecto que causaría un script al

cargar la página web, en este caso salta un cuadro de texto
(link: SAD02_CONT_R12_CROSS-[Link] ) con un saludo. Cuando el script es malicioso, es capaz de
hacer cosas que inter�eren en el funcionamiento del equipo
atacado.

Los scripts se pueden esconder detrás de fotos, el simple hecho de mostrar una foto puede ser detonante para la ejecución.

Para saber más

En el siguiente enlace podrás aprender más cosas sobre el Cross-Site Scripting y ejemplos de códigos utilizados en este
tipo de ataques.

Cross-Site Scripting (link: [Link] )  .

Autoevaluación
La modi�cación de las tablas de enrutamiento es un tipo de ataque que:
(link: )
Se produce en los routers .
(link: )
Se produce en los PC.
(link: )
Se produce en los exploradores.
(link: )

13 de 61 10/10/20 11:55
SAD02.- Implantación de mecanismos de segur... [Link]

Se produce en cualquier dispositivo que sea enrutable.

(link: )
Correcto. Cualquier dispositivo que tenga una tabla de enrutamiento puede ser atacado modi�cándose dicha tabla.

14 de 61 10/10/20 11:55
SAD02.- Implantación de mecanismos de segur... [Link]

1.1.7.- Inyección de código SQL.

Los ataques por inyección de código SQL se dan en aplicaciones diseñadas o que emplean lenguaje SQL
en su operatividad, sobre todo bases de datos o aplicaciones que trabajan con bases de datos.

El ataque consiste en introducir código SQL dentro del código legítimo para alterar el funcionamiento de
la aplicación.

Para saber más

En el siguiente enlace podrás ver un ejemplo claro de un ataque de este tipo.

Inyección de código SQL (link: [Link] ) .

Un ejemplo típico de inyección SQL sería el siguiente:

PHP es un lenguaje de programación que se utiliza

para diseñar páginas web y con el que se pueden
crear formularios de introducción de datos como el
de la imagen.

El caso más sencillo de formulario en una web

diseñada en PHP, es el que permite introducir el (link: SAD02_CONT_R14_PHP-[Link] )
usuario y la contraseña.

El código empleado para introducir el usuario y la contraseña almacena los valores que introducimos en dos variables:

$usuario=$_POST['usuario'];
$password=$_POST['password'];

Estas variables son utilizadas dentro de una sentencia SQL que realiza una búsqueda en una tabla denominada
usuarios.

$sql="SELECT * FROM usuarios WHERE usuario='$usuario' AND password='$password'";

$result=mysql_query($sql);

Existe un agujero de seguridad en este código si se introducen como valores del campo usuario y el campo password: '
OR '1'='1.

La expresión de SQL quedaría de la siguiente manera:

"SELECT Count(*) FROM Usuarios WHERE Usuario = ' ' or '1'='1' AND password = ' ' or
'1'='1'"

La expresión se evalúa como cierta, la variable $sql se llenará con un usuario con privilegios de conexión y
accederemos sin problemas al sistema.

15 de 61 10/10/20 11:55
SAD02.- Implantación de mecanismos de segur... [Link]

1.1.8.- Ataques contra usuarios y contraseñas.

Este tipo de ataques tienen como objetivo, descubrir claves o contraseñas con las que poder acceder a un sistema sin tener
autorización. Las dos técnicas más utilizadas son:

Fuerza bruta.

Diccionario.

Un ataque por fuerza bruta utiliza todas las combinaciones posibles hasta encontrar la correcta. Es decir, si una clave fuera un
número entero positivo de 3 cifras, un ataque por fuerza bruta probaría todas las combinaciones entre 000 y 999.

Existen muchas herramientas diseñadas para realizar ataques por fuerza bruta, sobre todo, destinadas a descubrir las claves de
acceso a redes inalámbricas. Pero en realidad, estas herramientas combinan la fuerza bruta con la técnica de diccionario. Los
ataques basados en diccionario, prueban todas las combinaciones posibles de un archivo (el diccionario). La herramienta
medusa se puede instalar en Linux.

root@linux-vbox:/# aptitude install medusa

Una vez instalada si ejecutamos la siguiente orden:

root@linux-vbox:/# medusa -h [Link] -u tomas -P [Link] -M ssh -f

La herramienta medusa buscará las contraseñas posibles

para el usuario tomas del localhost, las posibles contraseñas
se encontrarán en el archivo de texto [Link] (el
diccionario). El resultado de la orden es el que se muestra en (link: SAD02_CONT_R15_MEDUSA.PNG )
la �gura:

En la imagen se puede ver como el root del sistema ha ejecutado el programa medusa y con él ha descubierto que la contraseña
para el usuario tomas es 123456, para ello, se ha ayudado de un �chero denominado [Link] que contiene posibles
claves. También se puede apreciar la búsqueda que ha hecho entre las posibles contraseñas del �chero [Link] hasta
que encuentra la solución correcta.

Este tipo de herramientas basan su éxito en la cantidad de combinaciones que tenga el diccionario. Los diccionarios empleados
en estos ataques se pueden descargar de Internet, donde hay sitios en los que clasi�can los diccionarios dependiendo del tipo
de clave que se quiera desencriptar (WEP, WPA, router, servidores, etc...).

En un diccionario se encuentran palabras comunes (muy inseguras) que a veces se utilizan como claves.

16 de 61 10/10/20 11:55
SAD02.- Implantación de mecanismos de segur... [Link]

luna

sol

123456

1111111

password

admin

La vulnerabilidad ante este tipo de ataques reside en la debilidad de las claves y en dejar agujeros en el sistema que permitan
que se ejecuten herramientas capaces de descubrir dichas claves por una combinación de fuerza bruta y diccionario .

17 de 61 10/10/20 11:55
SAD02.- Implantación de mecanismos de segur... [Link]

1.2.- Anatomía de ataques y análisis de software malicioso.

Conocer como se estructura un ataque es muy importante para poder defenderse de dicho ataque, porque ayuda a pensar
como los atacantes. Las fases que forman parte de un ataque informático suelen ser:

Reconocimiento.

Exploración.

Acceso.

Mantenimiento del acceso.

Borrado de huellas.

La fase de reconocimiento es la encargada de recopilar información sobre el usuario que va a ser objeto
del ataque, en esta parte son típicas las técnicas de ingeniería social y las búsquedas avanzadas en Internet.

Una vez que se conocen datos del usuario, se pasa a la segunda fase en la que se realiza una exploración o
escaneo del sistema, se utilizan sni�ers, escaneo de puertos o cualquier herramienta que nos muestre las
debilidades del sistema objetivo. En esta fase se intentan encontrar direcciones IP o nombres DNS de la
víctima, así como posibles puertos abiertos o aplicaciones más usadas.

La tercera fase es la fase del acceso, aquí es donde comienza el ataque propiamente dicho, se accede al
sistema después de haber crackeado o robado las contraseñas, o se accede a un recurso compartido del
sistema sin autorización o se efectúa un DoS.

La siguiente fase consiste en a�anzar el acceso, es decir, conseguir que el acceso se pueda repetir en cualquier otra
circunstancia. Para ello, se entra en el sistema y se modi�can privilegios o se crean nuevas vulnerabilidades que permitan un
acceso posterior. Es típico de esta fase la instalación de backdoors y troyanos.

Por último, la fase de borrado de huellas, aquí es donde el intruso trata de borrar cualquier rastro que haya dejado en los
accesos no permitidos, se limpian en la medida de lo posible, los �cheros log y las alarmas del sistema.

Autoevaluación
Una aplicación que realice un ataque por fuerza bruta para descubrir la contraseña de un usuario:
(link: )
Necesitará siempre de un diccionario.
(link: )
Para que tenga éxito, primero se debe poder acceder al sistema.
(link: )
Necesita siempre de un �chero de texto con posibles contraseñas.
(link: )
Debe estar instalada en el equipo víctima.

(link: )
Correcto. Es necesario poder acceder al sistema y poder ejecutar la aplicación con privilegios su�cientes.

18 de 61 10/10/20 11:55
SAD02.- Implantación de mecanismos de segur... [Link]

1.2.1.- Análisis del software malicioso.

Para contrarrestar los ataques se han diseñado herramientas de software teniendo en cuenta los
datos extraídos de los análisis efectuados sobre el malware. Puesto que el malware es un código
programable, para analizarlo correctamente se hacen dos tipos de análisis, siempre en entornos
aislados, denominados cajas de arena o sandbox, donde todo lo que se prueba no se ve in�uenciado por el
exterior y el exterior no se modi�ca por lo que ocurre dentro de la caja.

El análisis puede ser:

Estático.

Dinámico.

El análisis estático consiste en analizar el código línea a línea, instrucción a instrucción y determinar si son maliciosas o no, pero
sin ejecutar el software. Generalmente se analiza a muy bajo nivel y por lo tanto deben ser grandes especialistas los que lo
realicen. En la mayoría de los casos solamente se dispone del archivo ejecutable, sin el código fuente, por tanto, analizarlo
supone una labor muy compleja.

El análisis dinámico es más rápido y pragmático y requiere menos especialización. Se ejecuta el malware en un entorno que
simula el entorno real y se analizan las consecuencias de su ejecución para poder adoptar distintas estrategias contra él. Está
basado en la ejecución y la monitorización de procesos, conexiones establecidas y maneras en la que se comunica con otro
equipo remoto, se emplean para ello máquinas virtuales.

Para saber más

En el siguiente enlace podrás aprender más cosas sobre el análisis de software malicioso tanto estático, como dinámico.

Análisis de software malicioso. (link: [Link]

[Link] )

En el siguiente enlace podrás ver un ejemplo de análisis efectuado sobre un malware detectado en un producto
comercial de telefonía.

Ejemplo de análisis de malware (link: [Link] )

19 de 61 10/10/20 11:55
SAD02.- Implantación de mecanismos de segur... [Link]

1.3.- Herramientas preventivas. Instalación y configuración.

Las herramientas utilizadas con carácter preventivo son aquellas utilizadas para evitar que el malware se instale en el sistema.

Las medidas preventivas que se pueden tomar en un sistema son entre otras:

Instalación de antivirus.

Con�guración adecuada de cortafuegos.

Encriptación de la información.

Instalación de herramientas de detección de intrusos.

Utilización segura de entornos vulnerables.

En el mercado existen muchas herramientas que cumplen con la mayoría de las tareas ofreciendo
soluciones muy completas.

La herramienta más utilizada es el antivirus, todos los antivirus los podemos descargar de Internet y
muchos de ellos de manera gratuita, con versiones para todas las plataformas, incluso Linux.

Siempre se ha tenido la creencia de que no existían virus para sistemas operativos diferentes a los
diseñados por Microsoft; esto es falso. La única razón por la que la mayoría de los virus se han diseñado
para sistemas fabricados por Microsoft es que los diseñadores de malware no estaban interesados en ello.

Actualmente y debido al auge de sistemas como Linux, comienzan a aparecer virus para otras plataformas y
en consecuencia herramientas para contrarrestarlos.

Las siguientes líneas de código instalarían un antivirus en una distribución de Linux basado en Debian denominado
ClamAV:

root@linux-vbox:/home/tomas# apt-get install clamav

root@linux-vbox:/home/tomas# apt-get install klamav
root@linux-vbox:/home/tomas# apt-get install clamatk

Las dos últimas líneas instalan los paquetes necesarios para

poder utilizar el antivirus de manera grá�ca.

En la imagen se puede ver el aspecto que tendría el interfaz

grá�co para gnome en Linux basado en Debian del antivirus
ClamAV.

La utilización, como en todos los antivirus comerciales, es muy

(link: SAD02_CONT_R19_CLAMAV.png )
intuitiva a través de iconos y menús muy explicativos.

20 de 61 10/10/20 11:55
SAD02.- Implantación de mecanismos de segur... [Link]

1.3.1.- Cortafuegos y encriptación.

En cuanto a la con�guración del cortafuegos en los

sistemas, se debe hacer según las necesidades de cada
usuario y pensando en que cuantas más aplicaciones
se permitan a través de él más peligro tendremos para
nuestro sistema.

En la imagen se aprecia la ventana de con�guración del

(link: es_ASIR_SAD02_1.[Link] )
cortafuegos de Windows.

La opción más segura es tenerlo activado pero en ocasiones existe la necesidad de permitir ciertas aplicaciones o procesos para
lo que se emplea la opción de Excepciones.

Para prevenir posibles daños en archivos importantes, se puede utilizar la encriptación. Para encriptar la información existen
muchas herramientas, muchas de ellas disponibles en Internet. En Linux Ubuntu se dispone de la herramienta Seahorse en la
instalación gnome, que sirve para encriptar información con GnuPG.

Para saber más

En el siguiente enlace podrás conocer más cosas sobre GnuPG.

GnuPG (link: [Link] ) .

Para cifrar la información en este caso son necesarios dos pasos:

Generar las claves.

Cifrar la información con dichas claves.

Autoevaluación
Si se encripta un archivo, para que el receptor de ese archivo pueda leer la información:

(link: )
Debe ser un usuario del mismo equipo donde se encriptó la información.
(link: )
Debe ser un usuario de la misma red a la que pertenezca el usuario que encriptó la información.
(link: )
El usuario debe conocer las claves o alguna de las claves que se utilizaron para encriptar la información.
(link: )
El usuario debe conocer la clave privada del usuario que encriptó la información.

(link: )
Correcto. Dependiendo del tipo de encriptación, deberá conocer todas o al menos una de las claves.

Debes conocer

21 de 61 10/10/20 11:55
SAD02.- Implantación de mecanismos de segur... [Link]

En el siguiente vídeo se explica la utilización de gnuPG ( creación clave pública, cifrado simétrico y asimétrico) que viene
integrada en Linux Mint

(link: [Link] )

Resumen textual alternativo (link: SAD02_utilizaciongnuPG_Desc.html )

22 de 61 10/10/20 11:55
SAD02.- Implantación de mecanismos de segur... [Link]

1.3.2.- Detección de intrusos.

Conocer si hay intrusos en el sistema, aunque no estén

causando ningún daño en ese momento, también es una buena
medida preventiva. Para ello, existen herramientas diseñadas
especí�camente para ello. Las herramientas utilizadas para la
detección de intrusos se denominan también IDS (Intrusion
Detection System). El funcionamiento de estas herramientas se
basa en el análisis del trá�co de red y la comparación con (link: SAD02_CONT_R21_SNORT.JPG )
comportamientos estándar de los intrusos.

En la imagen se puede observar el sitio de descarga de Snort. Es una herramienta con muchos modi�cadores para sus
comandos, por lo que su manejo requiere de un tiempo de aprendizaje.

Es conveniente tener claro que se pretende de ella y en consecuencia buscar exclusivamente como poder hacerlo sin pretender
dominar todas sus posibilidades a menos que sea estrictamente necesario.

Para saber más

Existen IDS gratuitas que se pueden descargar de Internet como snort, válidas para plataformas Linux y Windows.

Snort (link: [Link] ) .

Existen dos tipos de sistemas de detección de intrusos:

Host IDS: También llamadas HIDS. Estas herramientas detectan intrusiones en los hosts.

Network IDS: También llamadas NIDS. Estas herramientas detectan las intrusiones en toda la red.

La diferencia entre ambos es que los HIDS solamente actúan a nivel local, mientras que los NIDS lo hacen a nivel de red por lo
que deben tener un dispositivo de red con�gurado en modo promiscuo.

Autoevaluación
Para detectar intrusiones en una LAN se debe emplear:
(link: )
Siempre un HIDS.
(link: )
Solamente una aplicación HIDS.
(link: )
Un NIDS si queremos ver lo que pasa en el segmento de red.
(link: )
Un HIDS con la tarjeta de red en modo promiscuo.

(link: )
Correcto. El NIDS observa todo el trá�co que circula por el segmento de la red.

23 de 61 10/10/20 11:55
SAD02.- Implantación de mecanismos de segur... [Link]

1.3.3.- Precauciones en entornos de riesgo.

En cuanto a las precauciones en el uso de entornos de riesgo como el correo electrónico, las redes sociales, los programas de
mensajería o las compras en Internet, se podrían establecer una serie de recomendaciones como medidas preventivas.

Evitar el reenvío de mensajes de correo electrónico.

Utilizar contraseñas fuertes en redes sociales.

Tener precaución con las formas de pago en las compras en Internet.

El reenvío de mensajes masivos puede causar que todas las direcciones de la agenda de correo electrónico caigan en manos de
personas que hagan un mal uso de ellas y derivar en la llegada de spam y técnicas de ingeniería social como el phising a la
cuenta de correo. Es muy inseguro el reenvío de mensajes del tipo "si envías esto a 10 amigos algo bueno te pasará en 5 días".
Este tipo de cadenas sólo tienen el objetivo de recopilar direcciones de correo electrónico.

En los casos en los que es necesario enviar un mensaje a varios usuarios, es conveniente utilizar un solo destinatario y a
los demás ponerles en "copia oculta" para evitar que las direcciones de todos aparezcan en todos los correos.

Las redes sociales contienen mucha información del usuario y de los contactos del usuario, si se utilizan contraseñas débiles ,
existe el riesgo de que un usuario no autorizado acceda a la cuenta y consiga información que pueda utilizar para �nes dañinos.

Una buena contraseña debe contener al menos 8 caracteres, mezclando números y letras, en mayúsculas y minúsculas.

En cuanto a las compras en Internet , es conveniente comprar en

sitios donde se tenga información del vendedor, con datos como su
dirección física o teléfono. Además, es imprescindible leer
detenidamente lo que se compra y todas las condiciones y
garantías.

En la forma de pago, debe escogerse en la medida de lo posible un

método que no implique proporcionar datos bancarios (envío
contrareembolso) y si no es posible, optar por utilizar mecanismos
(link: SAD02_CONT_R22_PAYPAL.jpg )
de pago seguros. La mayoría de las entidades �nancieras incorporan
en su banca electrónica muchas soluciones seguras, entre ellas:

PayPal

Utilización de tarjetas virtuales con límite de dinero y límite de vigencia

En la imagen se muestran los iconos que pueden aparecer para identi�car la posibilidad de pagar utilizando el mecanismo
PayPal . La ventaja es que los datos del comprador y del vendedor solamente los conoce PayPal , es PayPal quien se encarga de
transferir el dinero al vendedor y de cobrar

24 de 61 10/10/20 11:55
SAD02.- Implantación de mecanismos de segur... [Link]

Para saber más

En el siguiente enlace podrás ver cómo funciona Paypal.

PayPal (link: [Link] ) .

25 de 61 10/10/20 11:55
SAD02.- Implantación de mecanismos de segur... [Link]

1.4.- Herramientas paliativas. Instalación y configuración.

Las herramientas paliativas tienen como objetivo evitar los daños producidos por el malware. Lo más común es que una misma
herramienta de seguridad esté diseñada para prevenir y paliar.

Una política adecuada de copias de respaldo o seguridad, también denominadas backup es una buena medida paliativa, aunque
también se puede considerar como preventiva. Para realizar copias de seguridad existen muchas herramientas y la mayoría de
los sistemas incorporan funcionalidades para realizarlas. Se pueden nombrar como ejemplo representativo:

Rsync

Acronis True Image

Para saber más

En el siguiente enlace podrás ver más cosas sobre rsync:

rsync (link: [Link] ) .

En los últimos tiempos cada vez son más los usuarios que apuestan por el cloud computing para guardar sus datos. El backup en
la nube se realiza gracias a servicios prestados por empresas que disponen de CPD accesibles a través de Internet. Herramientas
que permiten realizar este tipo de backup son entre otras:

Dropbox

Google Drive

SugarSync

Windows Live Skydrive

Estas herramientas permiten guardar archivos en una

carpeta del sistema donde se instaló la aplicación y con ello
hacer que esos archivos sean accesibles desde cualquier
lugar donde haya conexión a través de Internet. Realmente el
archivo se guarda en el equipo y en un sitio web.

(link: SAD02_CONT_R23_DROPBOX.JPG ) En la imagen se puede ver la apariencia de dropbox después

de una conexión. Se observa la carpeta Public que es la que
permitirá la sincronización de los archivos a través de la nube. Todo lo que se modi�que en esa carpeta se modi�cará en el
equipo donde está instalado dropbox y viceversa.

Para saber más

En el siguiente vídeo se puede ver un ejemplo de instalación y utilización de dropbox.

26 de 61 10/10/20 11:55
SAD02.- Implantación de mecanismos de segur... [Link]

Ejemplo y uso de Dropbox.

(link: [Link] )

Resumen textual alternativo (link: SAD02_Descripcion_Video_Ejemplo__uso_de_dropbox.html )

27 de 61 10/10/20 11:55
SAD02.- Implantación de mecanismos de segur... [Link]

1.5.- Actualización de sistemas y aplicaciones.

La actualización de sistemas y aplicaciones quizás sea una de las medidas, tanto paliativas como preventivas, más adecuadas
para prevenir daños en los sistemas informáticos. Todos los sistemas tienen fallos de seguridad y a medida que surgen nuevas
aplicaciones y técnicas, pueden surgir más vulnerabilidades. Es obvio que cuando se diseña el software no se puede predecir
todo lo que va a pasar en el futuro, y por ello, siempre se debe actualizar a medida que surjan nuevas necesidades.
Las actualizaciones tienen principalmente dos objetivos:

Corregir fallos detectados

Añadir nuevas funcionalidades

En la imagen se pueden ver las

actualizaciones instaladas en un
sistema operativo windows.

Se pueden apreciar las diferentes

fechas en las que se realizaron las
instalaciones, deduciéndose con
facilidad que el navegador en este
caso, para ser e�ciente necesita
actualizarse cada pocos meses.
(link: es_ASIR_SAD02_1.[Link] )
Las actualizaciones mejorarán la
velocidad de trabajo y también la
seguridad. En la mayoría de los casos también se ofrece la posibilidad de escoger la actualización que se desea instalar. Esto
mejora los problemas de posibles incompatibilidades con aplicaciones instaladas o con el hardware donde se pretende instalar
la actualización.

Autoevaluación
Las actualizaciones de software:

(link: )
Solamente se pueden hacer en sistemas operativos.
(link: )
Se crean para eliminar virus.
(link: )
Las actualizaciones se crean aunque no haya agujeros de seguridad.
(link: )
Son indispensables para que las aplicaciones se puedan seguir utilizando.

(link: )
Es correcto. Se diseñan para corregir y también para mejorar el funcionamiento de las aplicaciones.

28 de 61 10/10/20 11:55
SAD02.- Implantación de mecanismos de segur... [Link]

2.- Seguridad en la conexión con redes públicas.

Caso práctico
—Cada día hace falta más papeleo, esto no hay que lo soporte.

—¿Qué ha pasado?

—Pues nada, que ahora nos piden un certi�cado de subcontratistas, para certi�car que
estamos en paz con Hacienda, se lo he dicho a los de la asesoría y me dicen que tardarán
unos 10 días en enviármelo.

—¿Por qué no lo haces directamente por Internet?

—¿Por Internet?

—Sí, la AEAT tiene un portal en el que se pueden realizar muchos trámites a través de Internet utilizando �rma digital o
certi�cado electrónico.

—¿Firma digital? Yo no soy un robot.

—No es necesario que seas un robot, es un software que te representa en la red, un certi�cado que veri�ca que eres tú
y si no tienes el certi�cado no puedes hacerlo a través de Internet.

—¿Por qué? Les llamo y les doy mi número de DNI.

—¡Qué no! Hay que seguir un proceso para evitar que se suplanten las identidades en Internet.

—¿Y cómo se puede hacer?

—Verás, lo vamos a solicitar y te explicaré además todos los métodos utilizados para asegurar la identidad cuando se
utilizan redes públicas.

El uso de redes públicas y la compartición de información han sido el desencadenante de la mayoría de los problemas de
seguridad. Es evidente que si una red LAN no tiene conexión con el exterior, su seguridad depende de los usuarios locales.

Si por el contrario, la red LAN tiene conexión a Internet, es impredecible acotar el número de personas que pueden tener acceso
a la red LAN, con mayor o menor di�cultad. Se podría pensar en una primera solución:

No conectarse a una red pública.

¿Quién va a renunciar a comprar online, leer el correo electrónico o utilizar las redes sociales? La mayoría de las personas
utilizan los medios informáticos con alguno de estos �nes, por lo que no parece una solución evitar el acceso a Internet.

Para los usuarios que deban utilizar redes públicas existen varios mecanismos que les pueden ayudar a trabajar de manera
segura:

Conexiones inalámbricas cifradas (WPA2, WPA, WEP).

Conexiones SSH.

Utilización de VPN.

Utilización de HTTPS en la navegación.

29 de 61 10/10/20 11:55
SAD02.- Implantación de mecanismos de segur... [Link]

Utilización de mecanismos de identi�cación digital.

Casi todas las soluciones anteriores tienen agujeros de seguridad puesto que todo lo que viaja por la red tiene peligro de ser
interceptado , aunque sea más o menos difícil descifrarlo. Si se imagina una red inalámbrica pública sin clave como espacio de
comunicaciones, los peligros son numerosos.

Si la red está abierta, cualquiera pueden entrar a formar parte de ella, sea cual sea su objetivo.

La interceptación de datos es mucho más fácil.

Para saber más

En el siguiente enlace podrás ver los peligros de una red inalámbrica abierta:

Peligros red inalámbrica abierta (link: [Link]

[Link] )

En el siguiente enlace podrás ver una noticia que supone un ejemplo de vulnerabilidad cuando se utiliza una en una red
inalámbrica abierta para entrar en una red social.

Firesheep (link: [Link] )

Autoevaluación
Una red LAN sin conexión a Internet siempre es segura:

(link: )
Sí, porque es en Internet donde están todos los peligros.
(link: )
Sí, porque no utiliza routers.
(link: )
No, porque puede utilizar routers inalámbricos.
(link: )
No, porque son varios ordenadores unidos entre sí.

(link: )
Es correcto. Si la red es inalámbrica está sujeta a las vulnerabilidades de la red inalámbrica.

30 de 61 10/10/20 11:55
SAD02.- Implantación de mecanismos de segur... [Link]

2.1.- Identificación digital.

La identi�cación digital asegura la autenti�cación, la con�dencialidad y la integridad de las

comunicaciones en Internet, para un usuario supone una contribución al reconocimiento de sus
derechos fundamentales.

No se debe confundir la identi�cación digital con la identidad digital que un usuario se puede
crear por ejemplo en una red social, donde a veces la identidad representa lo que se quiere ser, no lo
que se es realmente. La identi�cación digital es una representación legal de la identidad y se puede
conseguir con varios métodos.

Contraseñas

Tarjetas de identi�cación

Sistemas biométricos

Certi�cados digitales

Todos los mecanismos anteriores tienen como objetivo aglutinar una serie de rasgos identi�cativos de cada usuario en el medio
digital. Cada uno de los métodos empleados utiliza rasgos diferentes.

Las contraseñas son un método muy antiguo e identi�can a cada usuario con una serie de caracteres. Las tarjetas de
identi�cación utilizan chips para almacenar la información de cada individuo. Los sistemas biométricos utilizan rasgos físicos
de cada usuario, para crear un determinado per�l digital que lo identi�que de manera única. Los certi�cados digitales emplean
información de los usuarios para generar un software que los identi�que, representándolos en las transacciones electrónicas.

La identi�cación digital no existe, es necesario crearla y asociarla al usuario que deba representar.

Para saber más

Para asociar la identi�cación digital con el usuario, existen organismos capaces de certi�car la autenticidad de dicha
identidad, por ejemplo, la FNMT.

Sitio web de la FNMT (link: [Link] )

En el uso de redes públicas, el empleo de la identi�cación digital es primordial para asegurar la identidad tanto del emisor como
del receptor de una transacción.

Autoevaluación
El DNI electrónico:

(link: )
Muestra nuestra identidad digital.
(link: )
No posee una �rma digital.
(link: )

31 de 61 10/10/20 11:55
SAD02.- Implantación de mecanismos de segur... [Link]

Muestra nuestra identi�cación digital.

(link: )
Solamente es un certi�cado digital sin validez como �rma digital.

(link: )
Es correcto. Posee datos que identi�can al usuario y le permiten �rmar documentos de forma digital.

32 de 61 10/10/20 11:55
SAD02.- Implantación de mecanismos de segur... [Link]

2.2.- Firma electrónica y certificado digital.

La �rma y el certi�cado digital son la soluciones más �ables al problema de la identi�cación digital, en la actualidad son la
mejor forma de veri�car que cada una de las partes que intervienen en una comunicación a través de Internet son quien dicen
ser.

En la vida cotidiana existen muchas situaciones en las que se requiere contrastar la identidad de una persona, por ejemplo,
recoger un envío postal.

Una persona recibe un aviso de que tiene que recoger un paquete en una o�cina de correos y se dirige a ella. En la
o�cina lo primero que se le exige a esa persona es que demuestre su identidad (mostrando el DNI), y después de
entregarle el paquete se le pide que deje constancia de que se le ha entregado (�rmando el recibo de recogida).

Si la situación en la que se requiere la veri�cación de la identidad no permite un contacto visual, como es el caso de las
comunicaciones en Internet, se pueden utilizar la �rma y el certi�cado digital.

La �rma digital es una secuencia de caracteres que tiene funciones similares a las de la �rma personal, es un número único que
identi�ca a una persona física o jurídica. Una �rma digital utiliza criptografía de clave pública o asimétrica.

Para saber más

En el siguiente enlace podrás saber en qué consiste la criptografía de clave pública o asimétrica.

Criptografía asimétrica (link: [Link] )

También es utilizado el concepto de �rma electrónica en el mismo contexto que �rma digital, una �rma electrónica es una
�rma digital que se ha almacenado en un soporte de hardware; mientras que la �rma digital se puede almacenar tanto en
soportes de hardware como de software.

El certi�cado digital es un archivo que contiene los datos del propietario, su clave pública y la �rma digital de una autoridad
con competencias para expedir dicho certi�cado (FNMT en España), el responsable de veri�car que los datos corresponden al
propietario del certi�cado.

Un certi�cado digital está �rmado digitalmente por una entidad certi�cadora que certi�có la identidad del individuo que
solicitó el certi�cado.

Los certi�cados digitales pueden desempeñar funciones

en las comunicaciones en Internet similares a las que
realizan los documentos o�ciales de identi�cación como
el DNI o el pasaporte en situaciones donde hay contacto
visual.

En la imagen se muestra el proceso de �rma digital de

un documento electrónico.
(link: SAD02_CONT_R27_FIRMA-[Link] )
Se puede ver como además de generar la �rma digital
utilizando una función matemática (función hash) que actúa sobre los datos que se quieren �rmar y una clave privada de
cifrado, se utiliza también el certi�cado digital para veri�car la identidad del �rmante y su clave pública.

Una �rma digital es segura siempre y cuando la clave privada empleada para cifrar solamente la conozca su dueño.

La clave pública que el receptor necesita para descifrar el mensaje la extrae del certi�cado digital del emisor.

33 de 61 10/10/20 11:55
SAD02.- Implantación de mecanismos de segur... [Link]

2.3.- Publicidad y correo no deseado.

El correo no deseado o spam es un término que se utiliza para referirse a la publicidad enviada a
destinatarios que no lo desean y cuyas direcciones de correo se han obtenido de Internet.

El spam perjudica al usuario que recibe el correo de diferentes formas:

Utiliza los servidores de correo SMTP para procesar los mensajes

Consume recursos de la CPU

Utiliza espacio en el disco del servidor y de los usuarios que reciben el correo

Disminuye el ancho de banda de la red

Aumenta la posibilidad de infección con virus y troyanos

Los spammers necesitan de direcciones de correo para poder realizar el envío masivo de mensajes, para ello pueden utilizar
varias técnicas:

Generar direcciones de correo pertenecientes a un determinado dominio de manera aleatoria, por fuerza bruta o
por diccionario

Comprar bases de datos de usuarios

Acceder a listas de correo de usuarios

Emplear técnicas de ingeniería social

Para saber más

En el siguiente enlace podrás leer un artículo sobre el spam y el mercado negro de medicamentos.

Spam (link: [Link] )

Los spammers utilizan varios métodos para enviar el correo masivo una vez tienen las direcciones destino.

Envíos directos desde servidores alquilados

Retransmisiones a través de servidores accesibles desde el exterior

Utilización de redes zombie

34 de 61 10/10/20 11:55
SAD02.- Implantación de mecanismos de segur... [Link]

De los tres métodos anteriores el más rentable es la utilización de redes zombie , este método es ilegal pero al tiempo es muy
difícil de detectar y depurar responsabilidades.

Citas para pensar

"Más del 80% del correo electrónico es SPAM"

El hecho de que haya un porcentaje tan alto de correo basura se debe a que supone un negocio. Si bien es cierto que el éxito de
estos correos es muy bajo (0,001%), debido a su bajísimo coste de distribución, este porcentaje es su�ciente para producir
bene�cios.

35 de 61 10/10/20 11:55
SAD02.- Implantación de mecanismos de segur... [Link]

3.- Elaboración de un manual de seguridad y planes de contingencia.

Caso práctico
Después de estar trabajando varios días sobre la seguridad de la empresa y de contestar a
múltiples preguntas a sus compañeros, María ha decidido elaborar un manual para que todo
el mundo sepa lo que ha de hacer para mantener el sistema seguro.

—¿Qué te parece si elaboramos un manual para todos nosotros con normas que
deberíamos cumplir relativas a la seguridad?

—¿Normas?

—Sí, cosas como no revelar las contraseñas o apagar bien los equipos o como actuar si ocurre algo en el sistema.

—¿Lo deben cumplir todos?

—Sí, incluso tú.

—Bueno pues venga, si necesitas algo me lo dices.

—Necesito una persona de cada departamento.

—¿Una de cada departamento?

—Sí, es importante que todos den su punto de vista. Así se hace en las grandes empresas.

—¡Me vas a volver loco con tantas normas!

María le explicará a su jefe como se elabora un manual de seguridad y un plan de contingencia.

El objetivo de la elaboración de un manual de seguridad es establecer los estándares de seguridad que deben ser seguidos,
suministrar un conjunto de normas que determinen como se debe actuar para evitar problemas, mientras que los planes de
contingencia, por otra parte, tienen como objetivo recuperar a la organización de los desastres sufridos.

El manual de seguridad debe ser elaborado tomando como base la �losofía de la organización donde se pretenda implantar,
así como el grado de conocimientos de los profesionales que la integran.

Los pasos para elaborar un manual de seguridad deben ser al menos:

Formar un equipo integrado por personas de diferentes departamentos de la organización.

Elaborar el documento

Publicar de manera o�cial el manual

El equipo encargado de elaborar el manual debe estar formado por personas de diferente per�l para que todos los aspectos de
la organización se vean representados.

Una vez formado el equipo, se pasa a elaborar el documento, que es la parte más laboriosa porque se deben contemplar al
menos:

Los factores humanos

36 de 61 10/10/20 11:55
SAD02.- Implantación de mecanismos de segur... [Link]

Los factores tecnológicos

La legislación vigente

Los criterios que determinen la responsabilidad de cada usuario

Los criterios de actuación

Una vez que el manual esté elaborado, para hacerlo público, debe ser aprobado por los responsables de la organización. Una
vez aprobado se le comunicará a cada usuario de la manera más adecuada y dejando constancia de que todos lo han recibido.

37 de 61 10/10/20 11:55
SAD02.- Implantación de mecanismos de segur... [Link]

3.1.- Plan de contingencias.

El plan de contingencias está diseñado para recuperar el funcionamiento normal del sistema, una
vez que se ha producido una incidencia de la que el sistema se debe recuperar, deberá contemplar al
menos:

Un análisis de riesgos del sistema

Un estudio de las protecciones actuales

Un plan de recuperación antes, durante y después del desastre

El análisis de riesgos sobre todo debe ser capaz de responder a preguntas como:

¿Qué se debe proteger?

¿Qué puede ir mal?

¿Con qué frecuencia?

¿Cuáles pueden ser las consecuencias?

En cuanto al estudio de las protecciones actuales, se deben enumerar cuáles son y veri�car que funcionan. Una vez que se ha
hecho el análisis de los riesgos y que se sabe con qué protecciones se cuenta, se está en disposición de elaborar el plan de
recuperación.

Para que el plan de recuperación sea lo más efectivo posible, en el momento de que ocurra un fallo es muy importante tener
muy claro:

El origen del fallo

El daño ocasionado

Los procedimientos establecidos en el plan de contingencias para la recuperación frente a un fallo, deben ser cumplidos tal y
como se especi�can. El responsable oportuno, bajo su responsabilidad, deberá veri�car que el procedimiento se ha seguido de
acuerdo a lo establecido.

El plan de recuperación se puede de�nir de tres maneras diferentes teniendo en cuenta la fase del desastre a la que hagamos
referencia:

Plan de respaldo: Antes

Plan de emergencia: Durante

38 de 61 10/10/20 11:55
SAD02.- Implantación de mecanismos de segur... [Link]

Plan de recuperación: Después

Para saber más

En el siguiente enlace podrás aprender más sobre el plan de contingencias.

Plan de contingencias (link: [Link] )

39 de 61 10/10/20 11:55
SAD02.- Implantación de mecanismos de segur... [Link]

3.2.- Pautas y prácticas seguras.

Un sistema informático es seguro si se utiliza de manera segura, de nada valen los planes diseñados si se
hace un mal uso del mismo mediante prácticas de riesgo.

Citas para pensar

"Las organizaciones gastan millones de dólares en �rewalls y dispositivos de seguridad, pero tiran el
dinero porque ninguna de estas medidas cubre el eslabón más débil de la cadena de seguridad: la
gente que usa y administra los ordenadores".
Kevin Mitnick (El hacker más famoso de todos los tiempos)

Mantener actualizado el sistema operativo y las aplicaciones

Descargar software desde sitios de con�anza, especialmente las actualizaciones de los sistemas operativos

Analizar los sistemas de manera periódica para mantenerlos libres de software malicioso

Usar contraseñas

Usar certi�cados digitales

Comunicar las incidencias

Realizar copias de seguridad

Todas las medidas anteriores contribuyen a mantener nuestro sistema seguro, además se deben desterrar creencias erróneas
como:

Creer que el software de seguridad es 100% efectivo

Pensar que algún equipo no debe protegerse porque no almacena nada importante

Creer que los ataques informáticos solamente los sufren personas u organizaciones importantes

Todo el software diseñado, incluido el destinado a la seguridad, soluciona un problema que se ha producido pero puede ser
inocuo para un problema futuro. Cuando se instala un antivirus no se debe creer que se está protegido totalmente y por ello es
conveniente actualizarlo con regularidad.

40 de 61 10/10/20 11:55
SAD02.- Implantación de mecanismos de segur... [Link]

El éxito de los atacantes es directamente proporcional a la con�anza de los atacados e inversamente proporcional a la
rapidez de respuesta de la víctima.

Otro de los focos de problemas suele ser el pensar que no hay que proteger a un equipo porque no
contiene nada importante. Puede ocurrir que la víctima no considere importante algo que para el
atacante es muy valioso.

En cuanto a pensar que los ataques sólo los sufren grandes organizaciones, recordar cómo funcionan las
botnets. Internet es el medio para que múltiples pequeños daños se transformen en un gran bene�cio,
es el medio en el que hacer daño a una víctima tiene casi los mismos costes de hacérselo a miles.

Hay sueños en los que se diseña un software que roba céntimos de euro en millones de cuentas bancarias.

Autoevaluación
La acción más segura es:

(link: )
Usar una contraseña de ocho números para acceder a los servicios de banca por Internet.
(link: )
Pagar con tarjeta de crédito en una compra por Internet.
(link: )
Realizar una copia de seguridad local en nuestro equipo.
(link: )
Conectarse a una red inalámbrica con encriptación WPA.

(link: )
Es correcto. De todas es la más segura porque no supone ningún riesgo.

41 de 61 10/10/20 11:55
SAD02.- Implantación de mecanismos de segur... [Link]

4.- Seguridad en la red corporativa.

Caso práctico
—¿Y todas estas medidas se aplican en las redes de empresas grandes?

—Estas y muchas más.

—¿Y las empresas que tienen varias sedes en sitios diferentes?

—Esas empresas están unidas mediante Internet, disfrutan de una especie de red local que
utiliza a Internet como vehículo.

—¿Y cómo son capaces de controlar la seguridad?

—Pues deben emplear múltiples herramientas porque se emplean muchos tipos de tecnología.

Una red corporativa es una red que comunica lugares

geográ�camente distantes y que facilita el acceso remoto
de usuarios, siendo todos los elementos comunicados
propiedad de una organización o persona. Se podría
decir que es una interconexión de redes LAN. En este
tipo de redes conviven diferentes tecnologías, tanto
inalámbricas como de cable.

Para la comunicación distante se deben emplear líneas

(link: SAD02_CONT_R34_RED-[Link] )
públicas por lo que las comunicaciones deberán utilizar
mecanismos seguros como las VPN.

En la imagen se puede ver un ejemplo de red corporativa. En este caso la red pertenece a un ayuntamiento de una ciudad y
muestra un esquema de como se conectarían los sitios más representativos de la misma como la universidad, el ayuntamiento,
el polígono industrial y el parque de bomberos.

Las tecnologías empleadas pueden ser diversas y se deben combinar para cubrir toda el área municipal. Esto implica que para
mantener la red segura se tendrá que hacer uso de varias estrategias y de diferentes herramientas.

Autoevaluación
En una red corporativa los peligros:
(link: )
Solamente pueden llegar a través de los usuarios legítimos de la red.
(link: )
Solamente pueden llegar a través de la red inalámbrica.
(link: )
Pueden llegar a través de Internet.
(link: )
No pueden llegar a través de Internet.

(link: )
Es correcto. Se puede utilizar Internet para interconectar diferentes puntos de la red.

42 de 61 10/10/20 11:55
SAD02.- Implantación de mecanismos de segur... [Link]

4.1.- Monitorización del tráfico en redes: aplicaciones para la captura y análisis

del tráfico, aplicaciones para la monitorización de redes y equipos.

El objetivo de la monitorización del trá�co en las redes es detectar problemas en su funcionamiento

para poder solucionarlos en la mayor brevedad posible.

Las aplicaciones disponibles, también denominadas sni�ers, para realizar estas funciones son varias,
muchas son gratuitas y de código abierto:

Wireshark

Etherape

WinDump

Fing

AthTek NetWalk

El uso de todas las herramientas de monitorización muestra demasiada información porque obtiene todas las tramas que
circulan en el medio de transmisión, para poder extraer solamente la información buscada se debe recurrir al uso de �ltros, que
pueden ser:

Filtros de captura

Filtros de visualización

Los �ltros de captura hacen que se muestren solamente los paquetes que cumplan con las condiciones establecidas y los de
visualización seleccionan la información deseada después de un análisis efectuado.

Lo más útil es capturar todo el trá�co y después utilizar �ltros de visualización para analizar solamente lo de interés.

Los siguientes son ejemplos de �ltros en Wireshark:

Capturar todos los paquetes con origen y destino en [Link]: host [Link]

Capturar todos los paquetes con puerto origen y destino 21: port 21

Capturar todos los paquetes con puerto origen 21: src port 21

Capturar todos los paquetes con origen en [Link]: src host [Link]

Capturar todos los paquetes con destino en [Link]: dst host [Link]

Capturar todos los paquetes con origen y destino en [Link]: host [Link]

Para saber más

43 de 61 10/10/20 11:55
SAD02.- Implantación de mecanismos de segur... [Link]

En el siguiente enlace podrás ver los diferentes parámetros utilizados en los �ltros de Wireshark.

Filtros de Wireshark (link: [Link] )

Sni�er Wireshark (Desde KALILINUX) (link: [Link] )

44 de 61 10/10/20 11:55
SAD02.- Implantación de mecanismos de segur... [Link]

4.2.- Seguridad en los protocolos para comunicaciones inalámbricas.

Las comunicaciones inalámbricas, sobre todo las que utilizan radiofrecuencia, tienen su principal
vulnerabilidad en el hecho de que cualquier nodo de la red puede recibir información de otro nodo que esté a
su alcance.

En un edi�cio en el que conviven varias redes inalámbricas pertenecientes a varios usuarios, cualquiera de ellos tiene la
posibilidad física de acceder a una red en la que no esté autorizado, incluso desde fuera del edi�cio.

Un punto de acceso inalámbrico mal con�gurado es un agujero de seguridad para la red corporativa, puesto que cualquiera
que consiga entrar en su radio de cobertura, podrá aprovecharse de todas sus vulnerabilidades, el peligro puede estar hasta en
un visitante ocasional con un teléfono de última generación.

Para mejorar la seguridad de las redes inalámbricas se pueden seguir las siguientes pautas:

Con�gurar en la medida de lo posible las ondas utilizadas en la transmisión

Utilizar mecanismos de autenticación red-cliente

Cifrar la información transmitida

Los dispositivos de conexión inalámbrica incluyen diversas opciones para poder conseguir que su con�guración sea segura.

Filtrado de direcciones MAC

Algoritmo WEP

VPN

Estándar 802.1x y servidores RADIUS

WPA

Portal cautivo

El �ltrado de direcciones MAC no es una buena solución si la red es muy grande, porque hay que editar las direcciones de cada
tarjeta, además de que el formato de las direcciones no es demasiado fácil de manejar. Si en la red cambian los equipos que
forman parte de ella o se añaden nuevos, también implica la modi�cación manual de la tabla de direcciones. Además de todo lo
anterior, las direcciones MAC viajan sin encriptar por la red, por lo que un atacante con conocimientos su�cientes tendría la
posibilidad de clonar dicha dirección.

El algoritmo WEP encripta las conexiones inalámbricas y hace que no sea posible la conexión a la red sin la utilización de una
clave. Hoy en día se considera un método no seguro porque existen muchas técnicas para romper su protección. El principal
problema, reside en que la clave secreta utilizada se graba en el dispositivo de interconexión y permanece estática hasta que
considere cambiarla. Un intruso puede utilizar aplicaciones diseñadas para realizar ataques de fuerza bruta y conseguir

45 de 61 10/10/20 11:55
SAD02.- Implantación de mecanismos de segur... [Link]

descifrarla.

El estándar 802.1x emplea un mecanismo más robusto que WEP, para ello utiliza el protocolo EAP (o cualquiera de sus variantes)
junto con un servidor RADIUS para obligar a los usuarios a autenticarse antes de conectarse a la red.

46 de 61 10/10/20 11:55
SAD02.- Implantación de mecanismos de segur... [Link]

4.2.1.- Seguridad en los protocolos para comunicaciones inalámbricas I.

Una gran ventaja de utilizar esta técnica es que la red

inalámbrica pasa a ser una red en la que se pueden administrar
más recursos, incluidos los usuarios, lo que la convierte en una
red más segura.

(link: SAD02_CONT_R37_RADIUS.jpg )

Limitar accesos mediante un sistema de usuario y contraseña

Limitar tiempos o períodos de conexión

Controlar el ancho de banda

Esta técnica (basada en los servidores RADIUS) es la empleada en los denominados puntos calientes seguros y constan
básicamente de tres partes:

Solicitante: Cliente o usuario de la red inalámbrica

Autenticador: Punto de acceso inalámbrico

Servidor de autenticación RADIUS: Servidor donde están de�nidos los usuarios a los que se les permitirá el uso
de la red inalámbrica

El autenticador es un intermediario entre el cliente y

servidor RADIUS, hasta que no se produzca la
autenticación mediante el servidor, no se permitirá
otro tipo de conexión que no sea la que se pueda dar
entre solicitante, autenticador y servidor RADIUS. Una
vez concedido el acceso, el cliente podrá acceder a los
(link: SAD02_CONT_R38_PORTAL-[Link] )
servicios de la red a través del autenticador.

Para subsanar las debilidades de WEP surgió WPA. Básicamente se basa en cambiar la clave compartida entre el punto de acceso
y el cliente cada cierto tiempo para evitar ataques que permitan revelar la clave por fuerza bruta. En cualquiera de los casos, ni
tan siquiera utilizar WPA tendrá la red totalmente a salvo.

Tanto WPA como WPA2 son protocolos diseñados para trabajar con y sin un servidor de autenticación. En el caso de no usar un
servidor, todas las estaciones utilizan una clave compartida PSK, este modo también se conoce como WPA2-Personal. Cuando se
emplea un servidor de autenticación IEEE 802.1x se denomina WPA2-Corportativo.

La encriptación a nivel de la capa de enlace (WEP, WPA, WPA2) no garantiza la con�dencialidad. Se ha de evitar el uso de WEP e
intentar utilizar WPA2. La ocultación del SSID y el �ltrado de direcciones MAC no son métodos seguros.

Para mejorar las prestaciones en seguridad de las soluciones anteriores existe el mecanismo del portal cautivo, en el que se
fuerza a los usuarios a utilizar una determinada página para poder hacer uso de la red.

En la imagen se puede ver un ejemplo de la apariencia que tiene un acceso a un portal cautivo.

Existen muchas soluciones, tanto software como hardware, para conseguir esto.

47 de 61 10/10/20 11:55
SAD02.- Implantación de mecanismos de segur... [Link]

Para saber más

En el siguiente enlace podrás aprender más cosas sobre el concepto de portal cautivo, así como diferentes sitios de
descarga de software que realiza esta función.

Portal cautivo (link: [Link] ) .

48 de 61 10/10/20 11:55
SAD02.- Implantación de mecanismos de segur... [Link]

4.3.- Riesgos potenciales de los servicios de red.

Los servicios de red básicos que generalmente se requieren a un servidor local o remoto son:

Servicio de nombres de dominio DNS

Servicio DHCP

Servicio de alojamiento web

Servicio de correo electrónico

La mayoría de estos servicios tienen como principal

amenaza los ataques de denegación de servicio o DoS
(Denial of Service). Con este tipo de ataques se inunda al
servidor proveedor de los servicios con peticiones capaces
de impedir que el sistema proporcione correctamente los
servicios, en algunos casos impidiendo la ejecución y en
otros ejecutando el servicio de manera distinta a la
deseada.
(link: SAD02_CONT_R39_DNS-[Link] )
Todos los servicios son inseguros cuando se están
ejecutando porque están abriendo puertos, por esta razón, es importante no tener activados dichos servicios cuando no se
necesiten realmente.

El servicio DNS tiene como mayor peligro en clientes y servidores el hecho de que un atacante pueda conseguir modi�car las
resoluciones de DNS, con el propósito de desviar las conexiones de sus destinatarios reales. Para ello lo primero que suele hacer
es obtener información con comandos como:

Whois.

El ataque típico sobre estos servicios es el AXFR, o de transferencia de zona, también utilizado cuando se quiere replicar un DNS
desde un dominio primario a otro secundario. Un servidor maestro debe �ltrar por dirección IP qué esclavos pueden realizar
transferencias, si esto no se con�gura correctamente entonces cualquier atacante podría consultar por las zonas de los
dominios que administra.

Un programa que se puede utilizar para realizar estos ataques es DIG, disponible en distribuciones Linux.

Para saber más

En el siguiente enlace podrás aprender más sobre DIG y su relación con DNS:

DIG (link: [Link] ) .

Otro ataque sufrido por los servicios DNS es el DNS Spoo�ng en el que se intenta que un usuario se conecte a un sistema
controlado por el atacante y así capturar o modi�car la información, la esencia del ataque es una traducción falsa de las
direcciones y los nombres de dominio. Este tipo de ataques tiene dos variantes:

49 de 61 10/10/20 11:55
SAD02.- Implantación de mecanismos de segur... [Link]

Hijacking de respuestas a peticiones DNS

Envenenamiento de caché

50 de 61 10/10/20 11:55
SAD02.- Implantación de mecanismos de segur... [Link]

4.3.1.- Riesgos potenciales de los servicios de red I.

El envenenamiento de la caché de servidores DNS de Internet para la resolución de nombres de entidades �nancieras ha dado
lugar al pharming, los usuarios de esos DNS son direccionados a dominios no deseados.

Para saber más

En el siguiente enlace podrás aprender más sobre el pharming:

Pharming (link: [Link] ) .

Se pueden establecer una serie de medidas que aseguren el servicio DNS:

Separar los servidores DNS internos de los externos

Controlar la recursividad empleada por los servidores DNS en las búsquedas

Con estas dos medidas se limitan las posibles acciones que un atacante exterior pueda realizar contra la red corporativa, puesto
que se ponen a salvo los servidores DNS internos evitando la contaminación de la caché de los equipos, y se evita que usuarios
externos utilicen el servidor DNS propio para realizar búsquedas.

El servicio DHCP es capaz de suministrar direcciones IP en una red, esto implica que un equipo puede ser:

Servidor DHCP

Cliente DHCP

Por de�nición, DHCP es un protocolo inseguro puesto

que se ejecuta sobre IP y UDP, los cuales llevan implícita
su inseguridad. Por otra parte, un equipo, tanto si actúa
como servidor DHCP o como cliente, puede resultar
inseguro si actúa sin autorización.

Un servidor DHCP no autorizado se puede convertir en

(link: SAD02_CONT_R40_DHCP-[Link] ) un servidor no deseado para unos clientes que pierden el
servicio DHCP legítimo a favor del atacante.

En la imagen se puede ver una representación de un ataque para convertir en servidor DHCP un equipo no legítimo (Host D).

Para saber más

En el siguiente enlace podrás ver una breve explicación de los ataques y contramedidas al protocolo DHCP

Ataque y Contramedidas DHCP (link: [Link] ) .

51 de 61 10/10/20 11:55
SAD02.- Implantación de mecanismos de segur... [Link]

Si son los clientes DHCP los que actúan sin autorización, entonces, se estaría dando la posibilidad de acceder a la red a equipos
que no debieran tener este privilegio y recuperar la información destinada a los clientes legítimos.

52 de 61 10/10/20 11:55
SAD02.- Implantación de mecanismos de segur... [Link]

4.4.- Otros servicios de red, web y correo electrónico.

Otro de los servicios que añaden vulnerabilidades a la red corporativa es la instalación de un servidor web, con ello se consigue
crear un punto de vulnerabilidad puesto que se abre la red a Internet. Cuando se trabaja con un servidor web, tanto el usuario
�nal como el administrador web deben pensar en que existe mucho riesgo con la con�dencialidad de los datos transmitidos vía
web. Para los servicios web los fallos de seguridad están relacionados con:

Fallos de con�guración en los servidores web

Riesgos en los navegadores

Interceptación de datos en la comunicación entre el navegador y el servidor web

En los servicios de correo electrónico , se distinguen dos partes:

Cliente de correo electrónico

Servidor de correo electrónico

El cliente de correo es el software que utiliza el usuario para enviar y recibir correo electrónico entre
el sistema informático y el servidor de correo.

Los clientes reciben el nombre de MUA (Mail User Agent), ejemplos muy conocidos son:

Thunderbird

Outlook

El servidor es la parte que se encarga de transportar los mensajes de correo desde un servidor a otro y de almacenar los
mensajes para que el cliente pueda acceder a ellos. Para realizar estas dos funciones se ejecutan los protocolos SMTP, IMAP y
POP3 . Entre los servidores de correo la transferencia de mensajes la realizan los MTA , ejemplos son:

Sedmail

Post�x

permite el uso fraudulento de servidores SMTP por parte de personas ajenas a la organización, así como el envío de mensajes
con remite falso o correo basura. Uno de los ataques más comunes contra los servidores SMTP es el desbordamiento de bu�er
, esto se consigue atacando con una dirección de correo electrónico muy larga. En los servidores de correo existe un parámetro
que especi�ca la longitud máxima de la dirección de correo electrónico, si esta longitud se alcanza, el desbordamiento de bu�er
puede permitir al atacante tomar el control a través del MAIL FROM o RCPT TO .

53 de 61 10/10/20 11:55
SAD02.- Implantación de mecanismos de segur... [Link]

Para saber más

En el siguiente enlace podrás acceder para ver noticias relacionadas con vulnerabilidades:

Centro Criptológico Nacional (link: [Link]

id=234&Itemid=96&lang=gl )

54 de 61 10/10/20 11:55
SAD02.- Implantación de mecanismos de segur... [Link]

4.5.- Comando VRFY de SMTP.

El foco de debilidades en los servidores de correo es el protocolo SMTP, permite en muchos casos que los
clientes puedan adoptar la identidad que deseen y crear con ello spam (DNS Spoo�ng) mediante órdenes
lanzadas al servidor SMTP.

Una de las órdenes SMTP que se pueden utilizar es VRFY, que consulta a un determinado servidor de correo
si una dirección de correo existe o no. Esta comprobación la suelen hacer los atacantes antes de lanzar un
ataque a un servidor.

Se puede deshabilitar y así el servidor no contestará a la petición de comprobación. 

En un sistema Linux con Post�x se puede hacer desde el archivo de con�guración [Link]:

disable_vrfy_command = yes

Con esto se evitará que un usuario pueda preguntar utilizando telnet si una determinada dirección de correo existe o no. 

En el siguiente código se muestran los mensajes recibidos si se intenta comprobar la existencia de la

cuenta tomas@dominio con el comando VRFY:

# telnet [Link] 25
Trying [Link]...
Connected to [Link] ([Link]).
Escape character is '^]'.
220 [Link] ESMTP SMTP Ready; Sun, 14 Ago 2011 [Link] GMT
vrfy tomas@dominio
252 2.5.2 Cannot VRFY user; try RCPT to attempt delivery (or try finger)
expn root
502 5.7.0 Sorry, we do not allow this operation
quit
221 2.0.0 [Link] closing connection
Connection closed by foreign host.

La comunicación entre un cliente SMTP y un servidor SMTP se basa en un conjunto de comandos enviados por el cliente SMTP,
como el VRFY. La ejecución de estos comandos implica una respuesta por parte del servidor catalogada con códigos numéricos.

Para saber más

En el siguiente enlace podrás ver los comandos SMTP.

Comandos SMTP (link: [Link] ) .

Autoevaluación
En el MUA se con�guran:

55 de 61 10/10/20 11:55
SAD02.- Implantación de mecanismos de segur... [Link]

(link: )
Los protocolos POP3 e IMAP.
(link: )
El protocolo IMAP.
(link: )
Los protocolos POP y SMTP.
(link: )
Solamente el protocolo SMTP.

(link: )
Es correcto. Son los protocolos que conectan el MUA con el MTA.

56 de 61 10/10/20 11:55
SAD02.- Implantación de mecanismos de segur... [Link]

Anexo.- Licencias de recursos.

Licencias de recursos utilizados en la Unidad de Trabajo.

Recurso (1) Datos del recurso (1) Recurso (2) Datos del recurso (2)

Autoría: Infomatique. Autoría: Guessus.

Licencia: CC by sa. Licencia: CC by nc sa.

Procedencia: [Link] Procedencia: [Link]

/infomatique/5412742369/ /photos/jesusdq/237715858/
sizes/m/in/photostream/ sizes/m/in/photostream/

Autoría: Tomás Fernández Escudero. Autoría: natalia.m.f.

Licencia: Licencia MIT. Licencia: CC by nc nd.

Procedencia: Captura de pantalla hecha al Procedencia: [Link]

ejecutar el programa PuTTY /photos/nataliafebo/4605039501/
propiedad de Simon Tatham. sizes/m/in/photostream/

Autoría: [Link] 2010.

Autoría: Factoryjoe.
Licencia: Copyright (cita).
Licencia: CC by nc sa.
Procedencia:
Procedencia: [Link]
[Link]
/factoryjoe/5097757532/
/Aurora_Internet_
sizes/l/in/photostream/
Explorer_Exploit_Gets_Public

Autoría: RambergMediaImages. Autoría: Freddy The Boy.

Licencia: CC by sa. Licencia: CC by.

Procedencia: [Link] Procedencia: [Link]

/rmgimages/4660273582/sizes/ /photos/freddy-click-boy/3096665074/
m/in/photostream/ sizes/m/in/photostream/

Autoría: DemoCh.
Autoría: Flu-project.
Licencia: CC by.
Licencia: Copyright (cita).
Procedencia: [Link]
Procedencia: [Link]
/photos/44222307@N00/2052627556
phishing
/sizes/
-[Link]
m/in/photostream/

Autoría: Richzendy.
Autoría: Andrés Rueda.
Licencia: CC by.
Licencia: CC by.
Procedencia: [Link]
Procedencia: [Link]
/photos/35484468@N07/4868495603
/andresrueda/2983149263/sizes/
/sizes
m/in/photostream/
/m/in/photostream/

57 de 61 10/10/20 11:55
SAD02.- Implantación de mecanismos de segur... [Link]

Autoría: El Bibliomata. Autoría: tnarik.

Licencia: CC by. Licencia: CC by sa.

Procedencia: [Link] Procedencia: [Link]

/fdctsevilla/4189280117/sizes/ /photos/tnarik/3841454771/sizes/
m/in/photostream/ m/in/photostream/

Autoría: Juanpol.
Autoría: Tomás Fernández Escudero.
Licencia: CC by.
Licencia: GNU Linux.
Procedencia: [Link]
Procedencia: Captura de pantalla de
/juanpol/1562101472/sizes/m
Ubuntu.
/in/photostream/

Autoría: Tomás Fernández Escudero. Autoría: Tomás Fernández Escudero.

Licencia: Copyright (cita). Licencia: Copyright (cita).

Procedencia: Captura de pantalla del Procedencia: Captura de pantalla de la

cortafuegos de Windows XP aplicación Snort propiedad
propiedad de Microsoft de Source�re

Autoría: [Link]. Autoría: Tomás Fernández Escudero.

Licencia: CC by. Licencia: Copyright (cita).

Procedencia: [Link] Procedencia: Captura de pantalla

/ivanwalsh/3646485134/sizes/ hecha en [Link]
m/in/photostream/ propiedad de dropbox.

Autoría: Tomás Fernández Escudero. Autoría: BadgerGravlin.

Licencia: Copyright (cita). Licencia: CC by sa.

Procedencia: Captura de pantalla hecha en Procedencia: [Link]

Windows XP /photos/badgergravling/5970254789/
propiedad de Microsoft sizes/m/in/photostream/

Autoría: Oneras. Autoría: Acdx.

Licencia: CC by sa. Licencia: CC by sa.

Procedencia: [Link] Procedencia: [Link]

/oneras/3797996846/sizes/ /wiki/Archivo:
m/in/photostream/ Firma_Digital.png

Autoría: Stephen Dann. Autoría: Florin Gorgan.

Licencia: CC by sa. Licencia: CC by.

Procedencia: [Link] Procedencia: [Link]

/stephendann/4299690466/sizes/ /photos/�oringorgan/4694122800/
m/in/photostream/ sizes/m/in/photostream/

58 de 61 10/10/20 11:55
SAD02.- Implantación de mecanismos de segur... [Link]

Autoría: Geoblogs.
Autoría: Martinwcox.
Licencia: CC by.
Licencia: CC by.
Procedencia: [Link]
Procedencia: [Link]
/photos/geographypages/3938778108
/martinwcox/4138481218/sizes/
/sizes
m/in/photostream/
/m/in/photostream/

Autoría: CJ Isherwood.
Autoría: Conjunto universo.
Licencia: CC by sa.
Licencia: CC by nc sa.
Procedencia: [Link]
Procedencia: [Link]
/photos/isherwoodchris/3096255994
/elcerebrodej/2907715685/
/sizes
sizes/m/in/photostream/
/m/in/photostream/

Autoría: xornalcerto.
Autoría: citynet.
Licencia: CC by.
Licencia: Copyright (cita).
Procedencia: [Link]
Procedencia: [Link]
/photos/certo/3940047777/sizes/
/[Link]
m/in/photostream/

Autoría: Northampton Museum. Autoría: servicioshotspot.

Licencia: CC by. Licencia: Copyright (cita).

Procedencia: [Link] Procedencia:

/northampton_museum/5043391987/ [Link]
sizes/m/in/photostream/ /servidor-radius/

Autoría: Universidad de Jaén. Autoría: abdallahh.

Licencia: Copyright (cita). Licencia: CC by.

Procedencia: [Link] Procedencia: [Link]

/rimujaweb/guias/ /photos/husseinabdallah/5018184807/
[Link] sizes/m/in/photostream/

Autoría: Cisco. Autoría: Sean MacEntee.

Licencia: Copyright (cita). Licencia: CC by.

Procedencia: [Link] Procedencia: [Link]

/prod/collateral/switches/ps5718/ps708/ /photos/smemon/5167671844
prod_white_paper0900aecd802ca5d6.html /sizes/m/in/photostream/

59 de 61 10/10/20 11:55
SAD02.- Implantación de mecanismos de segur... [Link]

Autoría: dmuth.

Licencia: CC by sa.

Procedencia: [Link]
/dmuth/4583001074/
sizes/m/in/photostream/

60 de 61 10/10/20 11:55
SAD02.- Implantación de mecanismos de segur... [Link]

61 de 61 10/10/20 11:55