Módulo 2: Comprender las amenazas

y ataques (cibernéticos) de red

Tipos de amenazas
Suplantación de identidad: Un ataque con el objetivo de obtener
acceso a un sistema de destino mediante el uso de una identidad
falsificada. La suplantación de identidad se puede utilizar contra
direcciones IP, direcciones MAC, nombres de usuario, nombres de
sistemas, SSID de redes inalámbricas, direcciones de correo
electrónico y muchos otros tipos de identificación lógica.

Phishing: Un ataque que intente desviar a los usuarios legítimos a

sitios web maliciosos mediante el uso indebido de direcciones URL o
hipervínculos en los correos electrónicos podría considerarse
phishing.

DOS/DDOS: Un ataque de denegación de servicio (DoS) es un ataque

de consumo de recursos de red que tiene el objetivo principal de
evitar la actividad legítima en un sistema víctima. Los ataques que
involucran numerosos sistemas de víctimas secundarias
desprevenidas se conocen como ataques de denegación de servicio
distribuido (DDoS).

VIRUS: El virus informático es quizás la primera forma de código malicioso que

afecta a los administradores de seguridad. Al igual que los virus biológicos, los virus
informáticos tienen dos funciones principales: la propagación y la destrucción. Un
virus es una pieza de código autorreplicante que se propaga sin el consentimiento
de un usuario, pero frecuentemente con su ayuda (el usuario tiene que hacer clic
en un enlace o abrir un archivo).

Gusano: Los gusanos representan un riesgo significativo para la

seguridad de la red. Contienen el mismo potencial destructivo que
otros objetos de código malicioso con un toque adicional: se
propagan sin necesidad de intervención humana.

Troyano: Nombrado en honor a la antigua historia del caballo de

Troya, el troyano es un programa de software que parece benévolo,
pero lleva una carga maliciosa detrás de escena que tiene el
potencial de causar estragos en un sistema o red. Por ejemplo, el
ransomware a menudo usa un troyano para infectar una máquina de
destino y luego usa tecnología de encriptación para encriptar
documentos, hojas de cálculo y otros archivos almacenados en el
sistema con una clave que solo conoce el creador del malware.

MITM / Ataque en ruta: En un ataque en ruta, los atacantes

se ubican entre dos dispositivos, a menudo entre un navegador web
y un servidor web, para interceptar o modificar información
destinada a uno o ambos puntos finales. Los ataques en ruta
también se conocen como ataques de intermediario (MITM).

Canal lateral: Un ataque de canal lateral es un ataque pasivo y no invasivo

para observar el funcionamiento de un dispositivo. Los métodos incluyen
monitoreo de energía, sincronización y ataques de análisis de fallas.

Amenaza persistente avanzada (APT): Amenaza persistente

avanzada (APT) se refiere a amenazas que demuestran un nivel inusualmente alto
de sofisticación técnica y operativa durante meses o incluso años. Los ataques APT
a menudo son realizados por grupos de atacantes altamente organizados.
Amenaza interna: Las amenazas internas son amenazas que
surgen de personas en las que la organización confía. Estos podrían
ser empleados descontentos o empleados involucrados en
espionaje. Las amenazas internas no siempre son participantes
dispuestos. Un usuario de confianza que sea víctima de una estafa
podría ser una amenaza interna involuntaria.

Malware: Un programa que se inserta en un sistema,

generalmente de forma encubierta, con la intención de
comprometer la confidencialidad, integridad o disponibilidad de los
datos, las aplicaciones o el sistema operativo de la víctima o molestar
o interrumpir a la víctima.

Ransomware: Malware utilizado con el fin de facilitar un ataque

de rescate. Los ataques de ransomware a menudo usan criptografía
para "bloquear" los archivos en una computadora afectada y
requieren el pago de una tarifa de rescate a cambio del código de
"desbloqueo".

Identificar amenazas y herramientas

utilizadas para prevenirlas
Hasta ahora, en este capítulo, hemos explorado cómo funciona una red TCP/IP y
hemos visto algunos ejemplos de cómo los actores de amenazas pueden explotar
algunas de las vulnerabilidades inherentes. El resto de este módulo analizará las
diversas formas en que se pueden detectar e incluso prevenir estas amenazas de
red.

Si bien no hay un solo paso que pueda tomar para protegerse contra todos los
ataques, hay algunos pasos básicos que puede tomar para ayudar a protegerse
contra muchos tipos de ataques.

Estos son algunos ejemplos de pasos que se pueden tomar para proteger las redes.
  Si un sistema no necesita un servicio o protocolo, no debería estar
funcionando. Los atacantes no pueden explotar una vulnerabilidad en un
servicio o protocolo que no se ejecuta en un sistema.
 Los cortafuegos pueden prevenir muchos tipos diferentes de ataques. Los
cortafuegos basados en red protegen redes enteras y los cortafuegos basados
en host protegen sistemas individuales.

Sistema de detección de intrusos (IDS)

Una intrusión ocurre cuando un atacante puede eludir o frustrar los mecanismos
de seguridad y obtener acceso a los recursos de una organización. La detección de
intrusos es una forma específica de monitoreo que monitorea la información
registrada y los eventos en tiempo real para detectar actividad anormal que
indique un posible incidente o intrusión. Un sistema de detección de intrusiones
(IDS) automatiza la inspección de registros y eventos del sistema en tiempo real
para detectar intentos de intrusión y fallas del sistema. Un IDS está pensado como
parte de un plan de seguridad de defensa en profundidad. Funcionará con otros
mecanismos de seguridad, como los cortafuegos, y los complementará, pero no los
reemplaza.

Sistema de detección de intrusos basado en host (HIDS)

Un HIDS monitorea la actividad en una sola computadora, incluidas las llamadas de
proceso y la información registrada en los registros del sistema, la aplicación, la
seguridad y el firewall basado en host. A menudo, puede examinar eventos con
más detalle que un NIDS y puede identificar archivos específicos comprometidos
en un ataque. También puede rastrear los procesos empleados por el atacante.
Una ventaja de los HIDS sobre los NIDS es que los HIDS pueden detectar anomalías
en el sistema host que los NIDS no pueden detectar. Por ejemplo, un HIDS puede
detectar infecciones en las que un intruso se ha infiltrado en un sistema y lo está
controlando de forma remota. Los HIDS son más costosos de administrar que los
NIDS porque requieren atención administrativa en cada sistema, mientras que los
NIDS generalmente admiten la administración centralizada. Un HIDS no puede
detectar ataques de red en otros sistemas.

Sistema de detección de intrusos en la red (NIDS)

Un NIDS monitorea y evalúa la actividad de la red para detectar ataques o
anomalías en los eventos. No puede monitorear el contenido del tráfico cifrado,
pero puede monitorear otros detalles del paquete. Un solo NIDS puede monitorear
una gran red mediante el uso de sensores remotos para recopilar datos en
ubicaciones clave de la red que envían datos a una consola de administración
central. Estos sensores pueden monitorear el tráfico en enrutadores, firewalls,
conmutadores de red que admiten la duplicación de puertos y otros tipos de
derivaciones de red. Un NIDS tiene un efecto negativo muy pequeño en el
rendimiento general de la red y, cuando se implementa en un sistema de propósito
único, no afecta negativamente el rendimiento en ninguna otra computadora. Un
NIDS generalmente puede detectar el inicio de un ataque o ataques en curso, pero
no siempre puede proporcionar información sobre el éxito de un ataque. No
sabrán si un ataque afectó sistemas específicos, cuentas de usuario, archivos o
aplicaciones.

Información de Seguridad y Gestión de Eventos (SIEM)

La gestión de la seguridad implica el uso de herramientas que recopilan
información sobre el entorno de TI de muchas fuentes dispares para examinar
mejor la seguridad general de la organización y optimizar los esfuerzos de
seguridad. Estas herramientas se conocen generalmente como soluciones de
gestión de eventos e información de seguridad (o SIEM, pronunciado “SIM”). La idea
general de una solución SIEM es recopilar datos de registro de varias fuentes en
toda la empresa para comprender mejor las posibles preocupaciones de seguridad
y distribuir los recursos en consecuencia.

Los sistemas SIEM se pueden utilizar junto con otros componentes (defensa en
profundidad) como parte de un programa general de seguridad de la información.

Prevención de amenazas
Si bien no hay un solo paso que pueda tomar para protegerse contra todas las
amenazas, hay algunos pasos básicos que puede tomar para ayudar a reducir el
riesgo de muchos tipos de amenazas.

 Mantener actualizados los sistemas y las aplicaciones. Los proveedores lanzan

regularmente parches para corregir errores y fallas de seguridad, pero estos solo
ayudan cuando se aplican. La gestión de parches garantiza que los sistemas y las
aplicaciones se mantengan actualizados con los parches pertinentes.
 Elimine o deshabilite los servicios y protocolos innecesarios. Si un sistema no
necesita un servicio o protocolo, no debería estar funcionando. Los atacantes no
pueden explotar una vulnerabilidad en un servicio o protocolo que no se ejecuta
en un sistema. Como contraste extremo, imagine que un servidor web ejecuta
todos los servicios y protocolos disponibles. Es vulnerable a posibles ataques a
cualquiera de estos servicios y protocolos.
 Utilizar sistemas de detección y prevención de intrusos. Como se mencionó, los
sistemas de detección y prevención de intrusiones observan la actividad,
intentan detectar amenazas y brindan alertas. A menudo pueden bloquear o
detener los ataques.
 Utilice un software antimalware actualizado. Ya hemos cubierto los distintos
tipos de código malicioso, como virus y gusanos. Una contramedida principal es
el software antimalware.
 Utilice cortafuegos. Los cortafuegos pueden prevenir muchos tipos diferentes de
amenazas. Los cortafuegos basados en red protegen redes enteras y los
cortafuegos basados en host protegen sistemas individuales. Este capítulo
incluye una sección que describe cómo los cortafuegos pueden prevenir ataques.

Antivirus
 Se recomienda encarecidamente el uso de productos antivirus como mejor
práctica de seguridad y es un requisito para cumplir con el Estándar de
seguridad de datos de la industria de tarjetas de pago (PCI DSS) . Hay
 varios productos antivirus disponibles y muchos se pueden implementar
como parte de una solución empresarial que se integra con varios otros
productos de seguridad.
 Los sistemas antivirus intentan identificar el malware basándose en la firma
de malware conocido o detectando actividad anormal en un sistema. Esta
identificación se realiza con varios tipos de escáneres, reconocimiento de
patrones y algoritmos avanzados de aprendizaje automático.
 El antimalware ahora va más allá de la simple protección antivirus, ya que las
soluciones modernas intentan proporcionar un enfoque más holístico para
detectar rootkits, ransomware y spyware. Muchas soluciones de punto final
también incluyen firewalls de software y sistemas IDS o IPS.

Los escaneos regulares de vulnerabilidades y puertos son una

buena manera de evaluar la efectividad de los controles de
seguridad utilizados dentro de una organización. Pueden revelar
áreas donde los parches o la configuración de seguridad son
insuficientes, donde se han desarrollado o expuesto nuevas
 vulnerabilidades, y donde las políticas de seguridad son ineficaces
o no se siguen. Los atacantes pueden explotar cualquiera de estas
vulnerabilidades.

Cortafuegos
En la construcción de edificios o el diseño de vehículos, un cortafuegos es una
barrera física construida especialmente que evita la propagación del fuego de un
área de la estructura a otra o de un compartimento de un vehículo a otro. Los
primeros ingenieros de seguridad informática tomaron prestado ese nombre para
los dispositivos y servicios que aíslan los segmentos de red entre sí, como medida
de seguridad. Como resultado, el cortafuegos se refiere al proceso de diseño, uso u
operación de diferentes procesos de manera que se aíslen las actividades de alto
riesgo de las de menor riesgo.

Los cortafuegos hacen cumplir las políticas al filtrar el tráfico de red según un
conjunto de reglas. Si bien siempre se debe colocar un firewall en las puertas de
enlace de Internet, otras consideraciones y condiciones internas de la red
determinan dónde se emplearía un firewall, como la zonificación de la red o la
segregación de diferentes niveles de sensibilidad. Los firewalls han evolucionado
rápidamente con el tiempo para proporcionar capacidades de seguridad
mejoradas. Este crecimiento en las capacidades se puede ver en la Figura 5.37, que
contrasta una vista simplificada de los firewalls tradicionales y de próxima
generación. Integra una variedad de capacidades de gestión de amenazas en un
solo marco, incluidos servicios de proxy, servicios de prevención de intrusiones
(IPS) y una estrecha integración con el entorno de gestión de identidad y acceso
(IAM) para garantizar que solo los usuarios autorizados puedan pasar tráfico a
través de la infraestructura. Si bien los firewalls pueden administrar el tráfico en las
capas 2 (direcciones MAC), 3 (intervalos de IP) y 7 ( (interfaz de programación de
aplicaciones (API) y firewalls de aplicaciones), la implementación tradicional ha
sido controlar el tráfico en la capa 4.
Sistema de prevención de intrusiones (IPS)
Un sistema de prevención de intrusiones (IPS) es un tipo especial de IDS activo que
intenta detectar y bloquear automáticamente los ataques antes de que lleguen a
los sistemas de destino. Una diferencia distintiva entre un IDS y un IPS es que el IPS
se coloca en línea con el tráfico. En otras palabras, todo el tráfico debe pasar por el
IPS y el IPS puede elegir qué tráfico reenviar y qué tráfico bloquear después de
analizarlo. Esto permite que el IPS evite que un ataque alcance un objetivo. Dado
que los sistemas IPS son más efectivos para prevenir ataques basados en la red, es
común ver la función IPS integrada en los firewalls. Al igual que IDS, existen IPS
basados en red (NIPS) e IPS basados en host (HIPS).