Módulo 3: Conceptos de

Seguridad en Redes
Redes empresariales, seguridad y automatización
v7.0
(ENSA)
3.1. Estado Actual de la
Ciberseguridad

© 2016 Cisco y/o sus filiales. Todos los derechos reservados.

Información confidencial de Cisco. 2
Estado Actual de la Ciberseguridad
Estado actual de los casos
• Los Delincuentes Cibernéticos ahora tienen la experiencia y las herramientas necesarias para
derribar la infraestructura y los sistemas críticos. Sus herramientas y técnicas continúan
evolucionando.
• Mantener una red segura garantiza la seguridad de los usuarios de la red y protege los intereses
comerciales. Todos los usuarios deben conocer los términos de seguridad en la tabla.
Términos de
Descripción
seguridad
Un activo es cualquier cosa de valor para la organización. Incluye personas, equipos, recursos y
Activos
datos.
Una vulnerabilidad es una debilidad en un sistema, o su diseño, que podría ser explotada por una
Vulnerabilidad
amenaza.
Una amenaza es un peligro potencial para los activos, los datos o la funcionalidad de la red de una
Amenaza
empresa.
Exploit Un exploit es un mecanismo para tomar ventaja de una vulnerabilidad.
La mitigación es la contra-medida que reduce la probabilidad o la severidad de una posible
Mitigación
amenaza o riesgo. La seguridad de Redes consiste en técnicas de mitigación múltiples.
El riesgo es la probabilidad de que una amenaza explote la vulnerabilidad de un activo, con el
Riesgo objetivo de afectar negativamente a una organización. El riesgo se y/omide
© 2016 Cisco utilizando
sus filiales. la probabilidad
Todos los derechos reservados.
Información confidencial de Cisco. 3
de ocurrencia de un evento y sus consecuencias.
Estado actual de la ciberseguridad
Vectores de ataques de red
• Un vector de ataque es una ruta por la
cual un atacante puede obtener acceso
a un servidor, host o red. Los vectores
de ataque se originan dentro o fuera de
la red corporativa, como se muestra en
la figura.

• Las amenazas internas tienen el

potencial de causar mayores daños que
las amenazas externas porque los
usuarios internos tienen acceso directo
al edificio y a sus dispositivos de
infraestructura.

© 2016 Cisco y/o sus filiales. Todos los derechos reservados.

Información confidencial de Cisco. 4
Estado actual de la ciberseguridad
Pérdida de datos
Pérdida o filtración de datos son los términos utilizados para describir cuándo los datos se pierden con
o sin intención, son robados o se filtran fuera de la organización. La pérdida de datos puede generar:

• Daño de la marca/pérdida de la reputación

• Pérdida de la ventaja competitiva
• Pérdida de clientes
• Pérdida de ingresos
• Acciones legales que generen multas y sanciones civiles
• Costo y esfuerzo significativos para notificar a las partes afectadas y recuperarse de la
transgresión

Los profesionales de seguridad de red deben proteger los datos de la organización. Se deben
implementar varios controles de prevención de pérdida de datos (DLP) que combinen medidas
estratégicas, operativas y tácticas.

© 2016 Cisco y/o sus filiales. Todos los derechos reservados.

Información confidencial de Cisco. 5
Estado actual de la ciberseguridad
Pérdida de datos

Vectores de pérdida de
Descripción
datos
Correo electrónico / El correo electrónico o los mensajes de mensajería instantánea interceptados podrían capturarse y
Redes sociales descifrar el contenido.
Dispositivos no Si los datos no se almacenan utilizando un algoritmo de cifrado, entonces el ladrón puede extraer
encriptados datos confidenciales de valor.
Dispositivos de
Los datos confidenciales se pueden perder si el acceso a la nube se ve comprometido debido a
almacenamiento en la
ajustes débiles en la seguridad.
nube
Un riesgo es que un empleado pueda realizar una transferencia no autorizada de datos a un
Medios extraíbles dispositivo USB. Otro riesgo es que el dispositivo USB que contiene datos corporativos de valor se
puede extraviar.
Respaldo físico Los datos confidenciales deben triturarse cuando ya no sean necesarios.
Control de Acceso Las contraseñas o contraseñas débiles que se hayan visto comprometidas pueden proporcionar al
Incorrecto atacante un acceso fácil a los datos corporativos.

© 2016 Cisco y/o sus filiales. Todos los derechos reservados.

Información confidencial de Cisco. 6
3.2 Atacantes

© 2016 Cisco y/o sus filiales. Todos los derechos reservados.

Información confidencial de Cisco. 7
Atacantes
El Hacker
Un hacker es un término común usado para describir a un atacante.

Tipo de Hacker Descripción

Son hackers éticos que utilizan sus habilidades de programación para fines buenos, éticos
Hackers de Sombrero
y legales. Las vulnerabilidades en la seguridad se informan a los desarrolladores para que
Blanco
las corrijan antes de que las vulnerabilidades puedan aprovecharse.
Son personas que cometen delitos y hacen cosas probablemente poco éticas, pero no para
Hackers de Sombrero Gris beneficio personal o ni para causar daños. Un hacker de sombrero gris puede divulgar una
vulnerabilidad de la organización afectada después de haber puesto en peligro la red.
Hackers de sombrero Son delincuentes poco éticos que violan la seguridad de una computadora y una red para
negro beneficio personal o por motivos maliciosos, como ataques a la red.

© 2016 Cisco y/o sus filiales. Todos los derechos reservados.

Información confidencial de Cisco. 8
Atacantes
La evolución de los Hackers
La tabla muestra los términos de piratería moderna y una breve descripción de cada una.

Término de
Descripción
Piratería
Estos son adolescentes o hackers inexpertos que corren scripts, ejecutan herramientas y exploits
Script kiddies
existentes para ocasionar daño, pero generalmente no para obtener ganancias.
Agentes de Son generalmente hackers de sombrero gris que intentan descubrir los exploits e informarlos a los
Vulnerabilidad proveedores, a veces a cambio de premios o recompensas.
Estos son hackers de sombrero gris que protestan en público contra las organizaciones o gobiernos
Hacktivistas mediante la publicación de artículos, videos, la filtración de información confidencial y la ejecución de
ataques a la red.
Delincuentes Son hackers de sombrero negro que independientes o que trabajan para grandes organizaciones de
cibernéticos delito cibernético.
Son hackers de sombrero blanco o sombrero negro que roban secretos de gobierno, recopilan
Patrocinados por el inteligencia y sabotean las redes. Sus objetivos son los gobiernos, los grupos terroristas y las
estado corporaciones extranjeras. La mayoría de los países del mundo participan en algún tipo de hacking
patrocinado por el estado.

© 2016 Cisco y/o sus filiales. Todos los derechos reservados.

Información confidencial de Cisco. 9
Atacantes
Cibercriminales
Se calcula que, en todo el mundo, los cibercriminales roban miles de millones de dólares de los
consumidores y las empresas.

Los cibercriminales operan en una economía clandestina donde compran, venden e intercambian
herramientas de ataque, código de explotación de día cero, servicios de botnet, troyanos bancarios,
keyloggers y mucho más.

También compran y venden la información privada y la propiedad intelectual que roban de sus
víctimas.

Los cibercriminales apuntan a pequeñas empresas y consumidores, así como a grandes empresas e
industrias.

© 2016 Cisco y/o sus filiales. Todos los derechos reservados.

Información confidencial de Cisco. 10
Actores de amenazas
Hacktivistas
Dos ejemplos de hacktivistas son Anonymous y el Ejército Electrónico Sirio.

Aunque la mayoría de los grupos hacktivistas no están bien organizados, pueden causar
problemas importantes para los gobiernos y las empresas.

Los hacktivistas tienden a confiar en herramientas bastante básicas y de libre acceso.

© 2016 Cisco y/o sus filiales. Todos los derechos reservados.

Información confidencial de Cisco. 11
Atacantes
Hackers patrocinados por el estado (State-Sponsored)
Los hackers informáticos patrocinados por el estado crean un código de ataque avanzado y
personalizado, a menudo utilizando vulnerabilidades de software previamente no descubiertas
llamadas vulnerabilidades de día cero.

Un ejemplo de un ataque patrocinado por el estado involucró el malware de Stuxnet diseñado para
dañar la planta de enriquecimiento nuclear de Irán.

© 2016 Cisco y/o sus filiales. Todos los derechos reservados.

Información confidencial de Cisco. 12
3.3 Herramientas de los
atacantes

© 2016 Cisco y/o sus filiales. Todos los derechos reservados.

Información confidencial de Cisco. 13
Herramientas del Atacante
Introducción a las herramientas de Ataque
Para explotar una vulnerabilidad, un actor de amenazas debe tener una técnica o
herramienta.

Con los años, las herramientas de ataque se han vuelto más sofisticadas y altamente
automatizadas.

Estas nuevas herramientas requieren menos conocimiento técnico para su

implementación.

© 2016 Cisco y/o sus filiales. Todos los derechos reservados.

Información confidencial de Cisco. 14
Herramientas de los atacantes
Evolución de las herramientas de seguridad
La tabla destaca categorías de herramientas comunes de prueba de penetración. Observe cómo algunas herramientas son
utilizadas por hackers de sombrero blanco y de sombrero negro. Tenga en cuenta que esta lista no es definitiva, ya que se
desarrollan nuevas herramientas constantemente.

Herramientas de
pruebas de Descripción
penetración
Las herramientas para descodificar contraseñas a menudo se les conoce como herramientas de recuperación de
Decodificadores de contraseña y pueden ser usadas para decodificar o recuperar una contraseñar. Los decodificadores de contraseñas
contraseñas hacen intentos repetidos para averiguar la contraseña. Algunos ejemplos de herramientas para decodificar contraseñas
son: John the Ripper, Ophcrack, L0phtCrack, THC Hydra, RainbowCrack y Medusa.
Las herramientas de hacking inalámbrico se utilizan para hackear intencionalmente una red inalámbrica con el fin de
Herramientas de
detectar vulnerabilidades en la seguridad. Algunos ejemplos de herramientas de hacking inalámbrico son: Aircrack-ng,
Hacking Inalámbrico
Kismet, InSSIDer, KisMAC, Firesheep, and ViStumbler.
Escaneo de Redes y
Las herramientas de análisis de red se utilizan para sondear dispositivos de red, servidores y hosts para puertos TCP o
Herramientas de
UDP abiertos. Algunos ejemplos de herramientas de escaneo: Nmap, SuperScan, Angry IP Scanner y NetScanTools.
Hacking
Herramientas para
Estas herramientas se utilizan para sondear y probar la solidez de un firewall usando paquetes especialmente diseñados.
elaborar paquetes de
Algunos ejemplos son: Hping, Scapy, Socat, Yersinia, Netcat, Nping y Nemesis.
prueba
Estas herramientas se utilizan para capturar y analizar paquetes dentro de redes tradicionales LAN Ethernet o WLAN.
Sniffers de paquetes Algunas herramientas son las siguientes: Wireshark, Tcpdump, Ettercap,© 2016
Dsniff, EtherApe, Paros, Fiddler, Ratproxy y
Cisco y/o sus filiales. Todos los derechos reservados.
SSLstrip. Información confidencial de Cisco. 15
Herramientas de los atacantes
Evolución de las Herramientas de Seguridad (Cont.)
Herramientas de Pruebas
Descripción
de Penetración
Se trata de un comprobador de integridad de archivos y directorios utilizado por hackers de sombrero blanco para
Detectores de Rootkits
detectar rootkits instalados. Algunos ejemplos de herramientas: AIDE, Netfilter y PF: OpenBSD Packet Filter.
Fuzzers para buscar Los fuzzers son herramientas usadas por los atacantes cuando intentan descubrir las vulnerabilidades de seguridad
Vulnerabilidades de una computadora. Algunos ejemplos de fuzzers: Skipfish, Wapiti y W3af.

Herramientas de Estas herramientas son utilizadas por los hackers de sombrero blanco para detectar cualquier rastro de evidencia
Informática Forense existente en una computadora. Algunos ejemplos de herramientas: Sleuth Kit, Helix, Maltego y Encase.
Los hackers de sombrero negro utilizan estas herramientas para aplicar ingeniería inversa en archivos binarios
Depuradores cuando programan ataques. También las utilizan los sombreros blancos cuando analizan malware. Algunas
herramientas de depuración son las siguientes: GDB, WinDbg, IDA Pro e Immunity Debugger.
Sistemas Operativos Estos son sistemas operativos especialmente diseñados precargados con herramientas optimizadas para hacking.
para Hacking Algunos ejemplos de sistemas operativos especialmente diseñados para hacking son Kali Linux, BackBox Linux.
Las herramientas de encriptación utilizan esquemas de algoritmo para codificar los datos a fin de prevenir el acceso
Herramientas de Cifrado no autorizado a los datos encriptados. Algunos ejemplos de estas herramientas son VeraCrypt, CipherShed,
OpenSSH, OpenSSL, Tor, OpenVPN y Stunnel.
Estas herramientas identifican si un host remoto es vulnerable a un ataque de seguridad. Algunos ejemplos de
Herramientas para
herramientas de explotación de vulnerabilidades son Metasploit, Core Impact, Sqlmap, Social Engineer Toolkit y
Atacar Vulnerabilidades
Netsparker.
Estas herramientas analizan una red o un sistema para identificar puertos abiertos. También pueden utilizarse para
Escáneres de
escanear vulnerabilidades conocidas y explorar máquinas virtuales,©Información
dispositivos BYOD y bases de datos de
2016 Cisco y/o sus filiales. Todos los derechos reservados.
vulnerabilidades confidencial de Cisco. 16
clientes. Algunos ejemplos de herramientas son Nipper, Core Impact, Nessus, SAINT y OpenVAS.
Herramientas de los agentes de ataques
Tipos de ataques
Tipo de Ataque Descripción

Ataque de intercepción Esto sucede cuando un hacker captura y "escucha" el tráfico de red. Este ataque también se conoce como
pasiva (eavesdropping) sniffing o snooping.
Ataque de Modificación de Si los hackers han obtenido tráfico de la empresa, pueden alterar los datos en el paquete sin el conocimiento del
Datos remitente o del receptor.
Ataque de suplantación de
Un atacante crea un paquete IP que parece provenir de una dirección válida dentro de la intranet corporativa.
dirección IP
Si los harckers descubren una cuenta válida de usuario, los hackers tienen los mismos derechos que el usuario
Ataques basados en
real. Los hackers pueden usar una cuenta válida para obtener listas de otros usuarios, información de red,
contraseñas
cambios de servidor y configuraciones de red, y modificar, redirigir o borrar datos.
Un ataque de DoS impide el uso normal de una computadora o red por parte de usuarios válidos. Un ataque de
Ataque de Denegación de DoS también puede saturar una computadora o toda la red con tráfico hasta que se apaguen por sobrecarga. Un
Servicio ataque de DoS también puede bloquear tráfico; eso deriva en la pérdida de acceso a recursos de red por parte de
usuarios autorizados.
Este ataque se produce cuando los hackers se colocan entre un origen y un destino. Entonces ahora pueden
Ataque man-in-the-middle
monitorear, capturar y controlar la comunicación en forma activa y transparente.
Si un atacante obtiene una clave secreta, esa clave se conoce como una clave de riesgo. Una clave
Ataque de Claves
comprometida puede utilizarse para obtener acceso a una comunicación asegurada sin que el emisor ni el
Comprometidas
receptor se enteren del ataque.
Un analizador de protocolos es una aplicación o un dispositivo que puede leer, monitorear y capturar
Ataque de analizador de © 2016 Cisco y/o sus filiales. Todos los derechos reservados.
intercambios de datos en la red y leer paquetes de red. Si los paquetes no están cifrados, un analizador de
protocolos Información confidencial de Cisco. 17
protocolos permite ver por completo los datos que los componen.
3.4 - Malware

© 2016 Cisco y/o sus filiales. Todos los derechos reservados.

Información confidencial de Cisco. 18
Malware
Descripción General del Malware
• Ahora que conoce las herramientas que usan los hackers, este tema le presenta los diferentes
tipos de malware que utilizan los hackers para obtener acceso a dispositivos finales.

• Los terminales son especialmente propensos a ataques de malware. Es importante saber acerca
del malware porque los atacantes confían en que los usuarios instalen malware para explotar las
brechas de seguridad.

© 2016 Cisco y/o sus filiales. Todos los derechos reservados.

Información confidencial de Cisco. 19
Malware
Virus y Caballos de Troya
• El primer tipo de malware informático y el más común son los virus. Los virus requieren una
acción humana para propagarse e infectar otros equipos.

• Se ocultan al adjuntarse al código informático, al software o a los documentos en la computadora.

Cuando se abre, el virus se ejecuta e infecta el equipo.

• Los virus pueden:

o Modificar, dañar, eliminar archivos o borrar discos duros completos.
o Causar problemas de arranque del equipo y dañar aplicaciones.
o Capturar y enviar información confidencial a los atacantes.
o Acceder a cuentas de correo electrónico y utilizarlas para propagarse.
o Permanecer inactivo hasta que el atacante lo requiera.

© 2016 Cisco y/o sus filiales. Todos los derechos reservados.

Información confidencial de Cisco. 20
Malware
Virus y Caballos de Troya (Cont.)
Los virus modernos se desarrollan con intenciones muy específicas, como las indicadas en la tabla.

Tipos de virus Descripción

Virus en el sector de El virus ataca el sector de arranque, la tabla de particiones de archivos o el sistema de
arranque archivos.

Virus de firmware El virus ataca el firmware del dispositivo.

Virus de macros El virus utiliza la función de macros de MS Office con fines maliciosos.

Virus del programa El virus se introduce en otro programa ejecutable.

Virus de script El virus ataca al intérprete del SO que se utiliza para ejecutar los scripts.

© 2016 Cisco y/o sus filiales. Todos los derechos reservados.

Información confidencial de Cisco. 21
Malware
Virus y Caballos de Troya (Cont.)
Los atacantes usan caballos de Troya para comprometer a los hosts. Un Troyano es un programa que
parece útil pero también transporta código malicioso. Los Troyanos a menudo se proporcionan con
programas gratuitos en línea, como los juegos de computadora. Existen varios tipos de caballos de
Troya como se describen en la tabla.
Tipo de Caballo de
Descripción
Troya

Acceso remoto El Troyano activa el acceso remoto no autorizado.

Envío de datos El Troyano le proporciona al atacante datos confidenciales, como contraseñas.

Destructivo El Troyano daña o elimina archivos.

El Troyano usará el equipo de la víctima como dispositivo de origen para lanzar ataques y realizar
Proxy
otras actividades ilegales.
FTP El Troyano habilita servicios no autorizados de transferencia de archivos en dispositivos finales.

Desactivador de software
El Troyano detiene el funcionamiento de los programas antivirus o firewall.
de seguridad
Denegación de servicio
Caballo de Troya de DoS: retarda o detiene la actividad de red.
(DoS)
El Troyano intenta activamente robar información confidencial,
© 2016como números
Cisco y/o sus filiales. Todosde tarjetas
los derechos de crédito,
reservados.
Keylogger Información confidencial de Cisco. 22
registrando las pulsaciones de teclas efectuadas en un formulario web.
Malware
Otros Tipos de Malware
Malware Descripción

•El Adware se suele distribuir en las descargas de software.

•El Adware puede mostrar anuncios no solicitados mediante ventanas emergentes del navegador web, nuevas barras de
Adware
herramientas o redireccionamientos inesperados a un sitio web diferente
•Las ventanas emergentes pueden ser difíciles de controlar, ya que las modernas son más rápidas que la mano del usuario.

•El Ransomware generalmente cifra los archivos de la PC para que el usuario no pueda acceder a ellos y luego presenta un
mensaje donde se exige un rescate para suministrar la clave de descifrado.
Ransomware
•Los Usuarios sin copias de respaldo actualizadas deben pagar el rescate para descifrar sus archivos.
•Por lo general, el pago se hace mediante transferencia bancaria o divisas criptográficas como bitcoines.
•Los atacantes usan los Rootkits para obtener acceso a nivel de cuenta de administrador a una PC.
•Son muy difíciles de detectar porque pueden alterar el firewall, la protección antivirus, los archivos del sistema e incluso los
comandos del SO para ocultar su presencia.
Rootkit
•Pueden proveer una puerta trasera para que los atancantes accedan al equipo, carguen archivos e instalen nuevo software para
utilizarlo en un ataque DDoS.
•Se deben utilizar herramientas especiales para eliminar los rootkits y a veces es necesario reinstalar el sistema completo.

•Es similar al adware, pero se utiliza para recopilar información sobre el usuario y enviarla sin su consentimiento a los atacantes.
Spyware •El Spyware puede ser una amenaza menor que recopile datos de navegación, o bien, puede ser una amenaza importante que
recopile información personal y financiera.

•Es un programa que se replica a sí mismo y se propaga automáticamente sin participación del usuario, al aprovechar
vulnerabilidades de software legítimo.
Gusano
•Utiliza la red para buscar otras víctimas con la misma vulnerabilidad.
•El objetivo de los gusanos suele ser quitar velocidad o interrumpir las operaciones de redes.
© 2016 Cisco y/o sus filiales. Todos los derechos reservados.
Información confidencial de Cisco. 23
3.5 Ataques de Red
Comunes

© 2016 Cisco y/o sus filiales. Todos los derechos reservados.

Información confidencial de Cisco. 24
Ataques de Red Habituales
Resumen de los Ataques de Red Habituales
• Cuando se entrega e instala malware, la carga útil puede usarse para causar una variedad de
ataques relacionados con la red.

• Para mitigar los ataques, es útil comprender los tipos de ataques. Al clasificarlos, es posible
abordar los ataques por tipo, en lugar de abordarlos individualmente.

• Las redes son susceptibles a los siguientes tipos de ataques:

o Ataques de sondeo
o Ataques de Acceso
o Ataques de DoS

© 2016 Cisco y/o sus filiales. Todos los derechos reservados.

Información confidencial de Cisco. 25
Ataques de Red Habituales
Ataques de Sondeo
• El sondeo se conoce como recopilación de información.

• Los atacantes utilizan ataques de sondeo para realizar la detección no autorizada y el análisis de
sistemas, servicios o vulnerabilidades. Los ataques de sondeo preceden los ataques de acceso o
DoS attacks.

© 2016 Cisco y/o sus filiales. Todos los derechos reservados.

Información confidencial de Cisco. 26
Ataques de Red Habituales
Ataques de Sondeo (Cont.)
En la tabla se describen algunas de las técnicas utilizadas por los atacantes para realizar ataques de sondeo.

Técnica Descripción

Realizar una consulta de

El atacante está buscando información inicial sobre un objetivo. Se pueden usar varias
información de un
herramientas, incluida la búsqueda de Google, páginas web de organizaciones, whois y más.
objetivo
Iniciar un barrido de
La consulta de información generalmente revela la dirección de red del objetivo. El atacante
ping de la red de
ahora puede iniciar un barrido de ping para determinar cuál dirección IP está activa.
destino
Iniciar un análisis de
Esto se utiliza para determinar qué puertos o servicios están disponibles. Algunos ejemplos de
puertos de las
escáneres de puertos incluyen Nmap, SuperScan, Angry IP Scanner y NetScan Tools.
direcciones IP activas
Útil para consultar los puertos identificados para determinar el tipo y la versión de la aplicación
Ejecutar escáneres de
y el sistema operativo que el host está ejecutando. Algunos ejemplos de herramientas son
vulnerabilidades
Nipper, Core Impact, Nessus, SAINT y OpenVAS.
El atacante ahora intenta descubrir servicios vulnerables que pueden ser abusados. Una
Ejecutar herramientas
variedad de herramientas de explotación de vulnerabilidades existen, incluyendo: Metasploit,
de ataque
Core Impact, Sqlmap, Social Engineer Toolkit y Netsparker.
© 2016 Cisco y/o sus filiales. Todos los derechos reservados.
Información confidencial de Cisco. 27
Ataques de Red Habituales
Ataques de acceso
• Los ataques de acceso aprovechan vulnerabilidades conocidas en servicios de autenticación,
servicios FTP y servicios web. El propósito de este tipo de ataques es obtener acceso a cuentas
web, bases de datos confidenciales y otra información confidencial.
• Los atacantes usan ataques de acceso en dispositivos de red y computadoras para recuperar
datos, obtener acceso o escalar privilegios de acceso al rol de administrador.
• Ataques de contraseña: En un ataque de contraseña, el atacante intenta descubrir contraseñas
críticas del sistema utilizando varios métodos. Los ataques de contraseña son muy comunes y
pueden iniciarse utilizando una variedad de herramientas para descifrar contraseñas.
• Ataque Spoofing o de falsificación: En los ataques de falsificación, el dispositivo del atacante
intenta hacerse pasar por otro dispositivo falsificando datos. Los ataques comunes de suplantación
de identidad incluyen suplantación de IP, suplantación de MAC y suplantación de DHCP. Estos
ataques de suplantación se analizarán con más detalle más adelante en este módulo.
• Otros ataques de acceso incluyen:
o Ataque de confianza
o Redireccionamiento de puertos
o Ataques de man-in-the-middle
o Ataques de desbordamiento de búfer o Buffer overflow © 2016 Cisco y/o sus filiales. Todos los derechos reservados.
Información confidencial de Cisco. 28
Ataques de Red Habituales
Ataques de Ingeniería Social
• La ingeniería social es un ataque de acceso que intenta manipular a las personas para que
realicen acciones o divulguen información confidencial. Algunas técnicas son presenciales,
mientras que otras pueden ser por teléfono o Internet.

• Los ingenieros sociales, a menudo, se aprovechan de la disposición que tienen las personas a
ayudar. También se aprovechan de las debilidades de los demás.

© 2016 Cisco y/o sus filiales. Todos los derechos reservados.

Información confidencial de Cisco. 29
Ataques de Red Habituales
Ataques de Ingeniería Social
Ataques de Ingeniería
Descripción
Social

Pretexto Un atacante finge necesitar datos personales o financieros para confirmar la identidad del destinatario.

Suplantación de identidad El atacante envía un mensaje fraudulento que parece ser de una fuente legítima y confiable, para hacer que
(phishing) el destinatario instale malware en su dispositivo o revele información personal o financiera.
Suplantación de identidad El atacante crea un ataque de suplantación de identidad (phishing) dirigido específicamente a una persona u
focalizada (spear phishing) organización.
Correo electrónico no También conocido como correo basura, es correo electrónico no solicitado que suele contener enlaces
deseado nocivos, malware o información engañosa.
Algo por algo (something for A veces se denomina "quid pro quo" y es cuando el atacante solicita información personal a cambio de algo
something) como un obsequio.
Un atacante deja deliveradamente una unidad flash infectada con malware en un sitio público. Una víctima
Carnada (Baiting)
encuentra la unidad, la coloca en su equipo portátil y sin darse cuenta instala malware.
Simulación de identidad
Este tipo de ataque es donde un atacante finge ser alguien más para ganarse la confianza de la víctima.
(Impersonation)
Es un tipo de ataque presencial en el cual el atacante sigue muy de cerca a una persona autorizada para
Infiltración (tailgating)
poder acceder a un área protegida.
Espiar por encima del hombro Es un tipo de ataque presencial en el cual el atacante mira con disimulo sobre el hombro de una persona para
(shoulder surfing) robar sus contraseñas u otra información.
© 2016 Cisco y/o sus filiales. Todos los derechos reservados.
Inspección de basura
Tipo de ataque presencial en el cual el atacante hurga en la Información
basuraconfidencial
en buscade Cisco. 30
de documentos confidenciales.
(Dumpster diving)
Ataques de Red Habituales
Ataques de Ingeniería Social
• El Kit de herramientas de ingeniería social
(SET, Social Engineering Toolkit) fue
diseñado por TrustedSec para ayudar a los
hackers de sombrero blanco y a otros
profesionales de seguridad de la red a crear
ataques de ingeniería social para poner a
prueba sus propias redes.

• Las empresas deben capacitar y educar a

sus usuarios sobre los riesgos de la
ingeniería social, y desarrollar estrategias
para validar las identidades por teléfono, por
correo electrónico o en persona.

• En la figura, se presentan las prácticas

recomendadas que deben seguir todos los
usuarios.
© 2016 Cisco y/o sus filiales. Todos los derechos reservados.
Información confidencial de Cisco. 31
Ataques de Red Habituales
Ataques de DoS y DDoS
• Un ataque de Denegación de Servicio (DoS) crea algún tipo de interrupción de los servicios de red
para usuarios, dispositivos o aplicaciones. Existen dos tipos principales de ataques de DoS:
o Cantidad abrumadora de tráfico- el atacante envía una gran cantidad de datos a una
velocidad que la red, el host o la aplicación no puede manejar. Esto hace que los tiempos
de transmisión y respuesta disminuyan. También puede bloquear un dispositivo o servicio.
o Paquetes Mal Formateados- El atacante envía un paquete malicioso formateado a un
host o una aplicación y el receptor no puede manejarlo. Esto hace que el dispositivo
receptor funcione muy lentamente o se detenga.

• Los ataques de DoS son un riesgo importante porque pueden interrumpir fácilmente la
comunicación y causar una pérdida significativa de tiempo y dinero. Estos ataques son
relativamente simples de ejecutar, incluso si lo hace un agente de amenaza inexperto.

• Un ataque de DoS distribuida (DDoS) es similar a un ataque de DoS pero proviene de múltiples
fuentes coordinadas.

© 2016 Cisco y/o sus filiales. Todos los derechos reservados.

Información confidencial de Cisco. 32
3.6 Vulnerabilidades y
Amenazas de IP

© 2016 Cisco y/o sus filiales. Todos los derechos reservados.

Información confidencial de Cisco. 33
Vulnerabilidades y Amenazas de IP
IPv4 e IPv6
• El protocolo IP no valida si la dirección IP de origen contenida en un paquete realmente provino de
esa fuente. Por eso, los atacantes pueden enviar paquetes con una dirección IP de origen falsa.
Los analistas de seguridad deben entender los diferentes campos en los encabezados IPv4 e
IPv6.
• Algunos de los ataques relacionados con IP más comunes se muestran en la tabla.

Técnicas de Ataque IP Descripción

Los atacantes utilizan paquetes de eco (pings) del protocolo de mensajería de control de Internet
Ataques ICMP (ICMP) para detectar subredes y hosts en una red protegida para generar ataques de saturación de
DoS y para modificar las tablas de routing de los hosts.
Ataques de Amplificación y
Los atacantes intentan impedir que usuarios legítimos tengan acceso a información o servicios.
reflexión
Ataques de suplantación de Los atacantes suplantan la dirección IP de origen en un paquete de IP para realizar suplantación blind
direcciones o non-blind.
Los atacantes se posicionan entre un origen y un destino para monitorear, capturar y controlar la
Ataques man-in-the-middle
comunicación en forma transparente. Simplemente pueden escuchar en silencio mediante la
(MITM)
inspección de paquetes capturados o modificar paquetes y reenviarlos a su destino original.
Los atacantes obtienen acceso a la red física y, luego, usan un ataque de MITM para secuestrar una
Secuestros de sesiones
sesión. © 2016 Cisco y/o sus filiales. Todos los derechos reservados.
Información confidencial de Cisco. 34
Vulnerabilidades y Amenazas de IP
Ataques ICMP
• Los agentes de amenaza utilizan el ICMP para los ataques de reconocimiento y análisis. Esto les
permite iniciar ataques de recopilación de información para conocer la disposición de una
topología de red, detectar qué hosts están activos (dentro del alcance), identificar el sistema
operativo del host (identificación del SO) y determinar el estado de un firewall. Los atacantes
también usan ICMP para ataques DoS.

• Nota: ICMP para IPv4 (ICMPv4) e ICMP para IPv6 (ICMPv6) son susceptibles a ataques
similares.

• Las redes deben tener filtros estrictos de lista de control de acceso (ACL) en el perímetro de la red
para evitar sondeos de ICMP desde Internet. En el caso de redes grandes, los dispositivos de
seguridad (como firewalls y sistemas de detección de intrusiones o IDS) deben detectar este tipo
de ataques y generar alertas para los analistas de seguridad.

© 2016 Cisco y/o sus filiales. Todos los derechos reservados.

Información confidencial de Cisco. 35
Vulnerabilidades y Amenazas de IP
Ataques ICMP (Cont.)
Los mensajes comunes de ICMP de interés para los atacantes se enumeran en la tabla.

Mensajes ICMP utilizados por los Hackers Descripción

"Echo request" y "echo reply" de ICMP Esto se utiliza para realizar la verificación del host y los ataques DoS.

"Unreachable" de ICMP Se usa para realizar ataques de reconocimiento y análisis de la red.

Se utiliza para alcanzar una red IP interna. Esta función permite al router decirle
"Mask reply" de ICMP a un punto final solicitante cuál es la máscara de subred correcta para una red
determinada.
Se utiliza para lograr que un host de destino envíe todo el tráfico a través de un
dispositivo atacado y crear un ataque de MITM.
"Redirect" de ICMP
[Link]
software/[Link]

"Router discovery" de ICMP Se usa para inyectar rutas falsas en la tabla de routing de un host de destino.

© 2016 Cisco y/o sus filiales. Todos los derechos reservados.

Información confidencial de Cisco. 36
Vulnerabilidades y Amenazas de IP
Ataques de reflejo y amplificación

• Los atacantes suelen usar técnicas de

amplificación y reflejo para crear
ataques de DoS. En la figura se ilustra
cómo se usa un ataque "Smurf” para
abrumar un host objetivo.

Nota: Ahora se utilizan nuevas formas de

ataques de amplificación y reflejo, como ataques
de amplificación y reflejo con base en DNS y
ataques de amplificación de NTP.

• Los atacantes también utilizan ataques

de agotamiento de recursos de un host
objetivo a fin de que deje de funcionar
o para consumir los recursos de una
red.
© 2016 Cisco y/o sus filiales. Todos los derechos reservados.
Información confidencial de Cisco. 37
Vulnerabilidades y Amenazas de IP
Ataques de Suplantación de Direcciones
• Los ataques de suplantación de dirección IP se producen cuando un atacante crea paquetes con
información falsa de la dirección IP de origen para ocultar la identidad del remitente o hacerse
pasar por otro usuario legítimo. La suplantación de dirección IP suele formar parte de otro ataque
denominado ataque Smurf.

• Los ataques de Suplantación pueden ser "blind" (ciegos) o "non-blind" (no ciegos):
o Suplantación no ciega (Non-blind spoofing): El atacante puede ver el tráfico que se envía
entre el host y el destino. Esta técnica determina el estado de un firewall y la predicción del
número de secuencia. También puede secuestrar una sesión autorizada.
o Suplantación ciega (blind spoofing): El atacante no puede ver el tráfico que se envía entre
el host y el destino. Este tipo de ataque se utiliza en ataques de DoS.

• Los ataques de suplantación de dirección MAC se utilizan cuando los atacantes tienen acceso a la
red interna. Los atacantes cambian la dirección MAC de su host para que coincida con otra
dirección MAC conocida de un host de destino.

© 2016 Cisco y/o sus filiales. Todos los derechos reservados.

Información confidencial de Cisco. 38
3.7 Vulnerabilidades de TCP
y UDP

© 2016 Cisco y/o sus filiales. Todos los derechos reservados.

Información confidencial de Cisco. 39
Vulnerabilidades de TCP y UDP
Encabezado de segmento TCP
• La información de segmento de TCP aparece
inmediatamente después del encabezado de
IP. Los campos del segmento de TCP y Bits de
control aparecen en la figura.

• Los siguientes son los seis bits de control del

segmento TCP:
o URG - campo indicador urgente
significativo
o ACK - campo de reconocimiento
significativo
o PSH - función de empuje
o RST- restablecer la conexión
o SYN- sincronizar números de secuencia
o FIN - no hay más datos del emisor
© 2016 Cisco y/o sus filiales. Todos los derechos reservados.
Información confidencial de Cisco. 40
Vulnerabilidades de TCP y UDP
Encabezado de segmento TCP

© 2016 Cisco y/o sus filiales. Todos los derechos reservados.

Información confidencial de Cisco. 41
Vulnerabilidades de TCP y UDP
Servicios TCP
El TCP ofrece los siguientes servicios:
• Entrega confiable- TCP incorpora reconocimientos para garantizar la entrega. Si no se recibe un
acuse de recibo oportuno, el emisor retransmite los datos. Requerir acuses de recibo de los datos
recibidos puede causar retrasos sustanciales. Algunos ejemplos de los protocolos de capa de
aplicación que hacen uso de la confiabilidad de TCP incluyen HTTP, SSL/TLS, FTP y
transferencias de zona DNS.

• Control de flujo- el TCP implementa el control de flujo para abordar este problema. En lugar de
confirmar la recepción de un segmento a la vez, varios segmentos se pueden confirmar con un
único acuse de recibo.

• Comunicación con estado- la comunicación con estado del TCP entre dos partes ocurre gracias
a la comunicación tridireccional de TCP.

© 2016 Cisco y/o sus filiales. Todos los derechos reservados.

Información confidencial de Cisco. 42
Vulnerabilidades de TCP y UDP
Servicios TCP (Cont.)
Una conexión TCP se establece
en tres pasos:
1. El cliente de origen solicita una
sesión de comunicación de
cliente a servidor con el
servidor.
2. El servidor acusa recibo de la
sesión de comunicación de
cliente a servidor y solicita una
sesión de comunicación de
servidor a cliente.
3. El cliente de origen acusa
recibo de la sesión de
comunicación de servidor a
cliente.

© 2016 Cisco y/o sus filiales. Todos los derechos reservados.

Información confidencial de Cisco. 43
Vulnerabilidades de TCP y UDP
Ataques de TCP
Ataque de Inundación SYN a
TCP
1. El atacante envía múltiples
solicitudes SYN a un servidor
web.
2. El servidor web responde con
SYN-ACK para cada solicitud
SYN y espera para completar
el protocolo de enlace de tres
vías. El actor de la amenaza
no responde a los SYN-ACK.
3. Un usuario válido no puede
acceder al servidor web
porque el servidor web tiene
demasiadas conexiones TCP
a medio abrir.

© 2016 Cisco y/o sus filiales. Todos los derechos reservados.

Información confidencial de Cisco. 44
Vulnerabilidades de TCP y UDP
Ataques de TCP (Cont.)
La finalización de una sesión TCP utiliza el
siguiente proceso de intercambio de cuatro vías:
1. Cuando el cliente no tiene más datos para
enviar en la transmisión, envía un segmento
con el indicador FIN establecido.
2. El servidor envía un ACK para acusar recibo
del FIN para terminar la sesión de cliente a
servidor.
3. El servidor envía un FIN al cliente para
terminar la sesión de servidor a cliente.
4. El cliente responde con un ACK para dar
acuse de recibo del FIN desde el servidor.
Un atacante podría efectuar un ataque de
restablecimiento de TCP y enviar un paquete
falso con un RST de TCP a uno o ambos
terminales.

© 2016 Cisco y/o sus filiales. Todos los derechos reservados.

Información confidencial de Cisco. 45
Vulnerabilidades de TCP y UDP
Ataques de TCP (Cont.)
Otra vulnerabilidad es el secuestro de sesiones de TCP. Aunque es difícil de realizar, permite que un
atacante tome el control de un host ya autenticado mientras se comunica con el destino.

El atacante tendría que suplantar la dirección IP de un host, predecir el siguiente número de secuencia
y enviar un ACK al otro host. Si tiene éxito.

© 2016 Cisco y/o sus filiales. Todos los derechos reservados.

Información confidencial de Cisco. 46
Vulnerabilidades de TCP y UDP
Encabezado de segmento TCP y Funcionamiento
• DNS, TFTP, NFS y SNMP utilizan comúnmente UDP. También lo utilizan aplicaciones en tiempo
real, como la transmisión multimedia o VoIP. UDP es un protocolo de capa de transporte sin
conexión. Tiene una sobrecarga mucho menor que TCP ya que no está orientado a la conexión y
no proporciona los mecanismos sofisticados de retransmisión, secuenciación y control del flujo
que ofrecen confiabilidad.
• Significa que estas funciones no las proporciona el protocolo de la capa de transporte, y se deben
implementar aparte si es necesario.
• La baja sobrecarga del UDP es muy deseable para los protocolos que realizan transacciones
simples de solicitud y respuesta.

© 2016 Cisco y/o sus filiales. Todos los derechos reservados.

Información confidencial de Cisco. 47
Vulnerabilidades de TCP y UDP
Ataques de UDP
• UDP no está protegido por ningún tipo de encriptación. Puede agregar cifrado a UDP, pero no está
disponible de forma predeterminada. La falta de encriptación permite que cualquiera vea el tráfico,
lo modifique y lo envíe a su destino.

• Ataques de UDP Flood: El atacante debe usar una herramienta como UDP Unicorn o Low Orbit
Ion Cannon. Estas herramientas envían una avalancha de paquetes UDP, a menudo desde un
host falsificado, a un servidor en la subred. El programa analiza todos los puertos conocidos
intentando encontrar puertos cerrados. Esto hace que el servidor responda con un mensaje de
puerto ICMP inaccesible. Debido a que hay muchos puertos cerrados en el servidor, esto crea
mucho tráfico en el segmento, que utiliza la mayor parte del ancho de banda. El resultado es muy
similar al de un ataque de DoS.

© 2016 Cisco y/o sus filiales. Todos los derechos reservados.

Información confidencial de Cisco. 48
3.8 Servicios IP

© 2016 Cisco y/o sus filiales. Todos los derechos reservados.

Información confidencial de Cisco. 49
Servicios IP
Vulnerabilidades de ARP
• Los hosts transmiten una solicitud de ARP a otros hosts del segmento para
determinar la dirección MAC de un host con una dirección IP específica. El host con
la dirección IP que coincide con la de la solicitud de ARP envía una respuesta de
ARP.

• Cualquier cliente puede enviar una respuesta de ARP no solicitada llamada “ARP
gratuito”. Cuando un host envía un ARP gratuito, otros hosts en la subred almacenan
en sus tablas de ARP la dirección MAC y la dirección IP que contiene dicho ARP.

• Esta característica de ARP también significa que cualquier host puede afirmar ser el
dueño de cualquier IP o MAC que elija. Un atacante puede envenenar la caché de
ARP de los dispositivos en la red local y crear un ataque de MITM para redireccionar
el tráfico.

© 2016 Cisco y/o sus filiales. Todos los derechos reservados.

Información confidencial de Cisco. 50
Servicios IP
Envenenamiento de caché de ARP
El envenenamiento de caché ARP se puede usar para lanzar varios ataques de MITM.

1. La PC-A necesita la dirección MAC de su gateway predeterminado (R1) y, por lo tanto, envía ARP
request para obtener la MAC de [Link].
2. El R1 actualiza su caché de ARP con la IP y MAC de la PC-A y envía una respuesta ARP, la cual,
a su vez, actualiza su caché de ARP con la IP y MAC del R1.
3. El atacante envía dos gratuitous ARP falsos usando su propia dirección MAC para la IP de destino
indicada. La PC-A actualiza su caché de ARP y, ahora, el gateway predeterminado apunta hacia la
MAC del host del atacante. El R1 también actualiza su caché de ARP con la dirección IP de la PC-
A y comienza a apuntar a la dirección de MAC del atacante.

El envenenamiento ARP puede ser pasivo o activo: Pasivo cuando los atacantes roban información
confidencial. Activo cuando los atacantes modifican datos en tránsito o inyectan datos maliciosos.

© 2016 Cisco y/o sus filiales. Todos los derechos reservados.

Información confidencial de Cisco. 51
Servicios IP
Envenenamiento de caché de ARP

© 2016 Cisco y/o sus filiales. Todos los derechos reservados.

Información confidencial de Cisco. 52
Servicios IP
Envenenamiento de caché de ARP

© 2016 Cisco y/o sus filiales. Todos los derechos reservados.

Información confidencial de Cisco. 53
Servicios IP
Ataques de DNS
• El protocolo de Servicio de Nombres de Dominio (DNS) define un servicio automatizado que
coincide con los nombres de recursos, como [Link], con su dirección de red numérica, ya
sea dirección IPv4 o IPv6. Incluye el formato para las consultas, respuestas y datos, y usa
registros de recursos (RR) para identificar el tipo de respuesta de DNS.

• La protección de DNS suele pasarse por alto. Sin embargo, es fundamental para el funcionamiento
de una red y debe protegerse correctamente.

• Los ataques DNS incluyen lo siguiente:

o Ataques de resolución abierta de DNS
o Ataques sigilosos de DNS
o Ataques de domain shadowing de DNS
o Ataques de tunelización de DNS

© 2016 Cisco y/o sus filiales. Todos los derechos reservados.

Información confidencial de Cisco. 54
Servicios IP
Ataques de DNS (Cont.)
Ataques de resolución abierta de DNS: Responde las consultas de clientes fuera de su dominio
administrativo. Son vulnerables a múltiples actividades maliciosas descritas en la tabla.

Vulnerabilidades de resolución
Descripción
de DNS
Los atacantes envían registros de recursos (RR) falsificados a una "DNS resolver" para
Ataque de envenenamiento de redirigir a los usuarios de sitios legítimos a sitios maliciosos. Estos ataques se pueden
caché DNS utilizar para informar a la resolución de DNS que utilice un servidor de nombre malicioso
que proporciona información del RR para actividades maliciosas.
Los atacantes usan ataque DoS o DDoS para aumentar el volumen de ataques y para
Ataque de amplificación y ocultar la verdadera fuente de un ataque. Los atacantes envían mensajes de DNS a las
reflexión de DNS resoluciones abiertas utilizando la dirección IP de un host de destino. Estos ataques son
posibles porque la resolución abierta responde las consultas de cualquiera que pregunte.
Un ataque DoS que consume los recursos de los DNS open resolvers. Este ataque de
DoS consume todos los recursos disponibles para afectar negativamente las
Ataques de recursos
operaciones de la resolución de DNS abierta. El impacto de este ataque de DoS puede
disponibles de DNS
requerir el reinicio de la resolución de DNS abierta o la interrupción y el reinicio de los
servicios.

© 2016 Cisco y/o sus filiales. Todos los derechos reservados.

Información confidencial de Cisco. 55
Servicios IP
Ataques de DNS (Cont.)
Ataques de DNS Sigilosas: Para ocultar su identidad, los atacantes también utilizan las técnicas de
DNS sigilosas descritas en la siguiente tabla.

Técnicas de sigilo
Descripción
DNS

Consiste en asociar múltiples direcciones IP a un único nombre de dominio y cambiar rápidamente

Flujo Rápido
estas direcciones IP. En ocasiones, se utilizan cientos o incluso miles de direcciones IP.

Los atacantes utilizan esta técnica para cambiar los paquetes de solicitud como en las respuestas de
Flujo IP Doble
los servidores DNS. Esto aumenta la dificultad para identificar el origen del ataque.

Algoritmos de
Los atacantes utilizan esta técnica en malware para generar aleatoriamente nombres de dominio que
generación de
puedan utilizarse para encontrar sus servidores de comando y control (C&C).
dominio

© 2016 Cisco y/o sus filiales. Todos los derechos reservados.

Información confidencial de Cisco. 56
Servicios IP
Ataques de DNS (Cont.)
Ataques de Domain Shadowing de DNS: El domain shadowing implica que el atacante reúna
credenciales de la cuenta de dominio para crear silenciosamente múltiples subdominios para usar
durante los ataques.

Estos subdominios generalmente apuntan a servidores maliciosos sin alertar al propietario real del
dominio principal.

© 2016 Cisco y/o sus filiales. Todos los derechos reservados.

Información confidencial de Cisco. 57
Servicios IP
Túnel de DNS
• Los atacantes que utilizan la tunelización de DNS colocan tráfico que no es DNS en tráfico DNS. Este
método a menudo evita las soluciones de seguridad cuando un atacantes desea comunicarse con bots
dentro de una red protegida, o extraer datos de la organización. Así es como funciona el túnel DNS para
los comandos CnC enviados a una botnet:
1. Los datos se dividen en varias partes codificadas.
2. Cada parte se coloca en una etiqueta de nombre de dominio de nivel inferior de la consulta de DNS.
3. Dado que no hay ninguna respuesta del DNS local o en red para la consulta, la solicitud se envía a
los servidores DNS recursivos del ISP.
4. El servicio de DNS recursivo reenvía la consulta al servidor de nombres autorizado del atacante.
5. El proceso se repite hasta que se envían todas las consultas que contienen las partes.
6. Cuando el servidor de nombre autorizado del atacante recibe las consultas de DNS de los
dispositivos infectados, envía las respuestas para cada consulta de DNS, las cuales contienen los
comandos CnC encapsulados y codificados.
7. El malware en el host atacado vuelve a combinar las partes y ejecuta los comandos ocultos dentro
del registro DNS.
• Para detener el túnel DNS, el administrador de la red debe usar un filtro que inspeccione el tráfico DNS.
Preste especial atención a las consultas de DNS que son más largas de lo normal, o las que tienen un
nombre de dominio sospechoso.
© 2016 Cisco y/o sus filiales. Todos los derechos reservados.
Información confidencial de Cisco. 58
Servicios IP
DHCP

• Los servidores DHCP proporcionan

dinámicamente información de
configuración de IP a los clientes.

• En la figura, un cliente transmite un

mensaje de descubrimiento de DHCP.
El servidor DHCP le responde
directamente con una oferta que incluye
información de direccionamiento que el
cliente puede usar. El cliente transmite
una solicitud DHCP para decirle al
servidor que el cliente acepta la oferta.
El servidor le responde directamente
con un reconocimiento aceptando la
solicitud.

© 2016 Cisco y/o sus filiales. Todos los derechos reservados.

Información confidencial de Cisco. 59
Servicios IP
Ataques de DHCP
• Un ataque de suplantación de DHCP se produce cuando un servidor DHCP malicioso se
conecta a la red y brinda parámetros de configuración IP falsos a los clientes legítimos. Un
servidor malicioso puede proporcionar una variedad de información engañosa:

• Gateway predeterminado incorrecto: El atacante proporciona un gateway no válido o la

dirección IP de su host para crear un ataque de MITM. Esto puede pasar totalmente inadvertido,
ya que el intruso intercepta el flujo de datos por la red.

• Servidor DNS incorrecto: El atacante proporciona una dirección del servidor DNS incorrecta
que dirige al usuario a un sitio web malicioso.

• Dirección IP incorrecta: El atacante proporciona una dirección IP no válida, una dirección IP de

puerta de enlace predeterminada no válida o ambas. Luego, el agente de amenaza crea un
ataque de DoS en el cliente DHCP.

© 2016 Cisco y/o sus filiales. Todos los derechos reservados.

Información confidencial de Cisco. 60
Servicios IP
Ataques de DHCP (Cont.)
Supongamos que un atacante conecta con éxito un servidor DHCP malicioso a un puerto
de switch en la misma subred de los clientes objetivos. El objetivo del servidor malicioso
es proporcionarles a los clientes información de configuración de IP falsa.

1. El cliente emite una solicitud de detección de DHCP en busca de una respuesta de un

servidor DHCP. Ambos servidores recibirán el mensaje.
2. El servidor DHCP malicioso y el legítimo responden ambos con parámetros de
configuración de IP válidos. El cliente responde a la primera oferta recibida.
3. El cliente recibió primero la oferta del servidor malicioso y emite una solicitud de
DHCP aceptando los parámetros.
4. Solamente el servidor malicioso emite una respuesta individual al cliente para acusar
recibo de su solicitud. El servidor legítimo deja de comunicarse con el cliente porque
la solicitud ya ha sido reconocida.

© 2016 Cisco y/o sus filiales. Todos los derechos reservados.

Información confidencial de Cisco. 61
3.9 Mejores Prácticas en
Seguridad de Redes

© 2016 Cisco y/o sus filiales. Todos los derechos reservados.

Información confidencial de Cisco. 62
Mejores Prácticas en Seguridad de Redes
Confidencialidad, Disponibilidad e Integridad
• La Seguridad de la Red consiste en proteger la información y los sistemas de información del
acceso, uso, divulgación, interrupción, modificación o destrucción no autorizados.

• La mayoría de las organizaciones siguen la triada de seguridad de la información (CIA, por sus
siglas en inglés):

o Confidencialidad: Solamente individuos, entidades o procesos autorizados pueden tener

acceso a información confidencial. Puede requerir el uso de algoritmos de cifrado criptográfico
como AES para cifrar y descifrar datos.
o Integridad: Se refiere a proteger los datos de modificaciones no autorizadas. Requiere el uso de
algoritmos de hashing criptográficos como SHA.
o Disponibilidad: Los usuarios autorizados deben tener acceso ininterrumpido a los recursos y
datos importantes. Requiere implementar servicios puertas de enlace y enlaces redundantes.

© 2016 Cisco y/o sus filiales. Todos los derechos reservados.

Información confidencial de Cisco. 63
Mejores Prácticas en Seguridad de Redes
El Enfoque de Defensa en Profundidad
• Para garantizar comunicaciones seguras en redes públicas y privadas, el primer
objetivo es proteger los dispositivos como routers, switches, servidores y hosts. La
mayoría de las organizaciones emplean un enfoque de defensa en profundidad para
la seguridad. Esto requiere una combinación de dispositivos y servicios de red que
trabajen en conjunto.
• Se implementan varios dispositivos de seguridad y servicios:
o VPN
o Firewall ASA
o IPS
o ESA/WSA
o Servidor AAA
• Todos los dispositivos red incluyendo el router y los switches son fortalecidos.
• Además se deben proteger los datos a medida que viajan a través de varios enlaces.

© 2016 Cisco y/o sus filiales. Todos los derechos reservados.

Información confidencial de Cisco. 64
Mejores Prácticas en Seguridad de Redes
Firewalls

Un firewall es un
sistema o grupo de
sistemas que impone
una política de control
de acceso entre redes.

© 2016 Cisco y/o sus filiales. Todos los derechos reservados.

Información confidencial de Cisco. 65
Mejores Prácticas en Seguridad de Redes
IPS
• Para defenderse de los ataques rápidos y cambiantes, se podrían necesitar sistemas
rentables de detección y prevención integrados en los puntos de entrada y salida de
la red.
• Las tecnologías IDS e IPS comparten varias características. Ambas tecnologías se
implementan como sensores. Un sensor IDS o IPS puede adoptar la forma de varios
dispositivos diferentes:

o Un router configurado con el software IPS de Cisco IOS.

o Un dispositivo diseñado específicamente para proporcionar servicios de IDS o IPS exclusivos.
o Un módulo de red instalado en un dispositivo de seguridad adaptable (ASA, Adaptive Security
Appliance), switch o router.

• IDS e IPS identifican patrones en el tráfico de la red utilizando un conjunto de reglas llamadas
firmas para detectar actividad maliciosa. Las tecnologías IDS e IPS pueden detectar patrones de
firma atómica (paquete individual) o patrones de firma compuesta (varios paquetes).
© 2016 Cisco y/o sus filiales. Todos los derechos reservados.
Información confidencial de Cisco. 66
Mejores prácticas en seguridad de redes
IPS (Cont.)
La figura muestra cómo un IPS maneja el tráfico
denegado.
1. El atacante envía un paquete destinado a la
computadora portátil objetivo.
2. El IPS intercepta el tráfico y lo evalúa contra
amenazas reconocido y las políticas
configuradas.
3. El IPS envía un mensaje de registro a la
consola de administración.
4. El IPS desecha el paquete.

© 2016 Cisco y/o sus filiales. Todos los derechos reservados.

Información confidencial de Cisco. 67
Mejores Prácticas en Seguridad de Redes
Dispositivos de Seguridad de Contenido
• El dispositivo de seguridad de correo electrónico de Cisco (ESA) es un dispositivo especial
diseñado para monitorear el protocolo simple de transferencia de correo (SMTP). Cisco ESA se
actualiza constantemente por fuentes en tiempo real del Cisco Talos. Cisco ESA extrae estos
datos de inteligencia de amenazas cada tres o cinco minutos.

• Cisco Web Security Appliance (WSA) es una tecnología de mitigación para amenazas basadas en
la web. Cisco WSA combina protección avanzada contra malware, visibilidad y control de
aplicaciones, controles de políticas de uso aceptable e informes.

• Cisco WSA proporciona un control total sobre cómo los usuarios acceden a internet. La WSA
puede marcar URLs en lista negra, filtrar URLs, escanear malware, categorizar URLs, filtrar
aplicaciones web y encriptar y desencriptar tráfico web.

© 2016 Cisco y/o sus filiales. Todos los derechos reservados.

Información confidencial de Cisco. 68
Criptografía

© 2016 Cisco y/o sus filiales. Todos los derechos reservados.

Información confidencial de Cisco. 69
Criptografía
Comunicaciones Seguras
• Las organizaciones deben proporcionar soporte para proteger los datos a medida que viajan a
través de enlaces. Esto puede incluir el tráfico interno, pero la mayor preocupación es proteger los
datos que viajan fuera de la organización.
• Estos son los cuatro elementos de las comunicaciones seguras:
o Integridad de los datos: Garantiza que el mensaje no se haya modificado. La integridad se
garantiza mediante la aplicación de los algoritmos de generación de hash Message Digest
versión 5 (MD5) o Secure Hash (SHA). [Link]
o Autenticación de Origen: Garantiza que el mensaje no sea falso y que provenga de quien
dice ser. Muchas redes modernas garantizan la autenticación con protocolos, como el código
de autenticación de mensaje hash (Hash Message Authentication Code (HMAC).
o Confidencialidad de los datos: Garantiza que solamente los usuarios autorizados puedan
leer el mensaje. La confidencialidad de los datos se implementa utilizando algoritmos de
encriptación simétrica y asimétrica.
o Imposibilidad de Negación de los Datos: Garantiza que el remitente no pueda negar ni
refutar la validez de un mensaje enviado. La imposibilidad de negación se basa en el hecho de
que solamente el remitente tiene características únicas o una firma de cómo tratar el mensaje.
• La criptografía puede usarse casi en cualquier lugar donde haya comunicación de datos. De
© 2016 Cisco y/o sus filiales. Todos los derechos reservados.
hecho, la tendencia marcha hacia un mundo donde toda la comunicación será
Información confidencial de [Link]. 70
Criptografía
Integridad de los Datos
• Las funciones de hash se utilizan para garantizar la integridad de un mensaje. Garantizan que los
datos del mensaje no hayan cambiado accidental o intencionalmente.
• En la Figura, el remitente envía una transferencia de USD 100 a Alex. El emisor quiere asegurarse
de que el mensaje no se altere en su recorrido hasta el receptor:
1. El dispositivo de envío introduce el mensaje en un algoritmo de hash y calcula un hash de
longitud fija de 4ehiDx67NMop9.
2. Luego, este hash se adjunta al mensaje y se envía al receptor. El mensaje y el hash se
transmiten en texto sin formato.
3. El dispositivo receptor elimina el hash del mensaje e introduce el mensaje en el mismo
algoritmo de hash. Si el hash calculado es igual al que se adjunta al mensaje, significa que el
mensaje no se modificó durante su recorrido. Si los hash son no iguales, ya no es posible
garantizar la integridad del mensaje.

© 2016 Cisco y/o sus filiales. Todos los derechos reservados.

Información confidencial de Cisco. 71
Criptografía
Funciones Hash
• Existen tres funciones de hash muy conocidas:
o MD5 con una síntesis de 128 bits:MD5 es una función unidireccional que genera un mensaje
de hash de 128 bits. MD5 es un algoritmo heredado que solo debe usarse cuando no hay
mejores alternativas disponibles. Use SHA-2 en su lugar.
o SHA: SHA-1 es muy similar a las funciones de hash MD5. SHA-1 crea un mensaje hash de
160 bits y es un poco más lento que MD5. SHA-1 tiene defectos conocidos y es un algoritmo
obsoleto. Use SHA-2 cuando sea posible.
o SHA-2: Esto incluye SHA-224 (224 bit), SHA-256 (256 bit), SHA-384 (384 bit), and SHA-512
(512 bit). SHA-256, SHA-384 y SHA-512 son algoritmos de última generación y deben utilizarse
siempre que sea posible.

• Mientras que el hash se puede utilizar para detectar modificaciones accidentales, no brinda
protección contra cambios deliberados. Esto significa que cualquier persona puede calcular un
hash para los datos, siempre y cuando tengan la función de hash correcta.

• Por lo tanto, el hash es vulnerable a los ataques man-in-the-middle y no proporciona seguridad a

los datos transmitidos. © 2016 Cisco y/o sus filiales. Todos los derechos reservados.
Información confidencial de Cisco. 72
Criptografía
Autenticación de Origen
• Para agregar autenticación al control de integridad
se usa un código de autenticación de mensajes
hash con clave (HMAC).

• Un HMAC se calcula utilizando cualquier algoritmo

criptográfico que combine una función hash
criptográfica con una clave secreta.

• Solo las partes que tienen acceso a esa clave

secreta pueden calcular el compendio de una
función de HMAC. Esta característica derrota los
ataques man-in-the-middle y proporciona
autenticación del origen de los datos.

© 2016 Cisco y/o sus filiales. Todos los derechos reservados.

Información confidencial de Cisco. 73
Criptografía
Confidencialidad de Datos
• Hay dos clases de encriptación utilizadas para brindar confidencialidad de los datos. Estas dos
clases se diferencian en cómo utilizan las claves:
• Los algoritmos de cifrado simétricos como (DES), 3DES y el Estándar de cifrado avanzado (AES)
se basan en la premisa de que cada parte que se comunica conoce la clave precompartida. La
confidencialidad también se puede garantizar utilizando algoritmos asimétricos, como Rivest,
Shamir y Adleman (RSA) y la infraestructura de clave pública (PKI).

• En la figura, se destacan algunas diferencias entre cada método de encriptación.

© 2016 Cisco y/o sus filiales. Todos los derechos reservados.

Información confidencial de Cisco. 74
Criptografía
Cifrado Simétrico
• Los algoritmos simétricos utilizan la misma clave precompartida, también llamada una clave
secreta, para encriptar y desencriptar datos. Antes de que ocurra cualquier comunicación
encriptada, el emisor y el receptor conocen la clave precompartida.

• Los algoritmos simétricos cifrados se usan normalmente con el tráfico de VPN porque utilizan
menos recursos de CPU que los algoritmos de encriptación asimétrica.

• Al utilizar algoritmos de encriptación simétrica, mientras más larga sea la clave, más tiempo
demorará alguien en descubrirla. Para garantizar que la encriptación sea segura, se recomienda
una longitud mínima de clave de 128 bits.

© 2016 Cisco y/o sus filiales. Todos los derechos reservados.

Información confidencial de Cisco. 75
Criptografía
Cifrado Asimétrico
• Los algoritmos asimétricos, también llamados algoritmos de claves públicas, están diseñados para
que la clave de encriptación y la de desencriptación sean diferentes.

• Los algoritmos asimétricos utilizan una clave pública y una privada. La clave complementaria
emparejada es requerida para la desencriptación. Los datos encriptados con la clave privada
requieren la clave pública para desencriptarse. Los algoritmos asimétricos logran confidencialidad,
autenticación e integridad mediante el uso de este proceso.

• Debido a que ninguno de los participantes comparte un secreto, las longitudes de clave deber ser
muy largas. La encriptación asimétrica puede utilizar longitudes de claves entre 512 y 4096 bits.
Longitudes de clave mayores o iguales a 1024 bits son confiables, y mientras que las claves más
cortas no.

© 2016 Cisco y/o sus filiales. Todos los derechos reservados.

Información confidencial de Cisco. 76
Criptografía
Cifrado Asimétrico (Cont.)
• Entre algunos de los ejemplos de protocolos en los que se utilizan algoritmos de claves
asimétricos se incluyen los siguientes:
o Intercambio de claves por Internet (IKE): Es un componente fundamental de las VPN con
IPsec..
o Secure Socket Layer (SSL): Ahora se implementa como Seguridad de la capa de transporte
(TLS) estándar de IETF.
o Secure Shell (SSH): Este protocolo proporciona una conexión segura de acceso remoto a
dispositivos de red.
o Pretty Good Privacy (PGP): Este programa de computadora proporciona privacidad y
autenticación criptográfica. A menudo, se utiliza para aumentar la seguridad de las
comunicaciones por correo electrónico.
• Los algoritmos asimétricos son sustancialmente más lentos que los simétricos. Su diseño se basa
en problemas informáticos, como la factorización de números demasiado grandes o el cálculo de
logaritmos discretos de números demasiado grandes.

• Dado que carecen de velocidad, los algoritmos asimétricos se utilizan típicamente en criptografías
de poco volumen, como las firmas digitales y el intercambio de claves.
© 2016 Cisco y/o sus filiales. Todos los derechos reservados.
Información confidencial de Cisco. 77
Criptografía
Diffie-Hellman
• Algoritmo matemático asimétrico que permite que dos computadoras generen una clave secreta
idéntica compartida sin antes haberse comunicado. El emisor y el receptor nunca intercambian
realmente la nueva clave compartida.

• Estos son tres ejemplos de casos en los que el algoritmo de DH suele utilizarse:
o Se intercambian datos en una VPN con IPsec
o Se encriptan datos en Internet usando SSL o TLS
o Se intercambian datos de SSH

• La seguridad de DH utiliza números increíblemente grandes en sus cálculos.

© 2016 Cisco y/o sus filiales. Todos los derechos reservados.

Información confidencial de Cisco. 78
Cryptography
Diffie-Hellman (Cont.)
• Los colores en la figura se utilizarán en lugar de números para
simplificar el proceso de acuerdo de claves del algoritmo de DH. El
intercambio de claves del algoritmo de DH comienza con Alice y
Bob eligiendo arbitrariamente un color en común que no tienen
que mantener en secreto. El color acordado en nuestro ejemplo es
el amarillo.
• Luego, Alice y Bob seleccionan un color secreto cada uno. Alice
eligió rojo y Bob, azul. Nunca compartirán estos colores secretos
con nadie. El color secreto representa la clave privada secreta que
cada participante eligió.
• Ahora, Alice y Bob mezclan el color común compartido (amarillo)
con su color secreto respectivo para generar un color privado. Por
lo tanto, Alice mezcla el amarillo con el rojo para obtener el
anaranjado como color privado. Bob mezcla el amarillo y el azul
para obtener verde como color privado.
• Alice envía su color privado (anaranjado) a Bob y Bob le envía el
suyo (verde) a Alice.
• Alice y Bob mezclan cada uno el color que recibieron con su propio
color secreto original (rojo para Alice y azul para Bob). El resultado
es una mezcla final de color marrón que es idéntica a la mezcla
final del otro participante. El color marrón representa la clave © 2016 Cisco y/o sus filiales. Todos los derechos reservados.
Información confidencial de Cisco. 79
secreta que comparten Bob y Alice.