Módulo 2: Protección de redes

2.0 Introducción

2.0.1 ¿Por qué debería tomar este módulo?

¡Las redes están bajo ataque! En este módulo aprenderá sobre el estado actual del panorama de
seguridad de la red y también sobre los diferentes tipos de redes que requieren protección.

2.0.2 ¿Qué aprenderé en este módulo?

Este módulo contiene lo siguiente:

 2 Vídeos

 1 Actividad de Packet Tracer

 1 Actividades de Verifique su Comprensión

 1 Prueba del Módulo

Título del módulo: Pruebas de Seguridad de la Red

Objetivo del módulo: explicar los principios de seguridad de la red.

Título del tema Objetivo del tema

Explicar las amenazas, vulnerabilidades y ataques que ocurren en los

Estado actual de las cosas
distintos dominios.

¿Quién se está conectando a nuestra red? Explicar cómo han evolucionado las amenazas de red.

2.1 Estado actual de los casos

2.1.1 Vídeo - Anatomía de un ataque

Transcripción

12px

Spanish Lat

 00:00(música dramática pulsante)

 00:02La carrera está en marcha para obtener

 00:03un automóvil totalmente autónomo en el mercado.

 00:05Autonomous Car Company,

 00:06Aupticon, promete un automóvil--

 00:07Autos que se manejan solos,

 00:09los autos nuevos de Aupticon--

 00:11Unirse a la conferencia ahora.

 00:12Destruyó datos y eliminó las copias de seguridad,

 00:14podemos recuperar la mayor parte, pero es posible

 00:16que parte de la investigación haya desaparecido para siempre.

 00:18Según los forenses, es posible que hayan tenido

 00:20acceso a los planos.

 00:22El FBI arrestó a un hombre de San Francisco

 00:23en relación con el hackeo de Aupticon del mes pasado.

 00:27Brian, ¿puedo traerle algo?

 00:28¿Café o un refresco o algo?

 00:30No, no. (

 00:32música dramática)

 00:37Entonces, acompáñame, paso a paso.

 00:42Bueno, llevé el sitio web a una bolera .

 00:47Brian, esto no es una broma.

 00:49Bien, mira, tienen esta instalación de investigación

 00:54en la península, y están trabajando en

 00:56camaras ópticas de rastreo para autos sin conductor.

 01:00Entonces, solo buscando en las redes sociales, obtengo los nombres

 01:02de un montón de ingenieros que están trabajando allí.

 01:06Y mientras los busco, me encuentro

 01:08con esta liga de bolos,

 01:10donde un grupo de compañías tecnológicas juegan todos los miércoles.

 01:13Y esta es una bolera de la vieja escuela

 01:16con un sitio web realmente antiguo,

 01:18y tiene toda la información de la liga,

 01:19nombres de compañías, nombres de jugadores.

 01:21Está bien, pirateaste el sitio web de una bolera.

 01:25Sí.

 01:27Muy bien, explica cómo funciona.

 01:28Es llamado ataque de inyección de iframe,

 01:31es este antiguo exploit que

 01:32afecta a cualquiera que visite el sitio web.

 01:34Entonces, una semana después, este tipo de Aupticon

 01:35de repente tiene mi malware en su computadora portátil.

 01:39No podía creer que funcionara, era como una broma.

 01:41¿Qué te da eso?

 01:42Bueno, al día siguiente, se va a trabajar,

 01:44y abre su computadora portátil,

 01:45y se conecta a la red, y eso es todo, estoy adentro.

 01:50Sí, pero eso todavía no te permite entrar.

 01:52Quiero decir que lo descubrieron,

 01:56limpiaron la computadora portátil, escanearon la red,

 01:58No escanearon toda la red.

 02:01El termostato es parte de la red.

 02:03Está dentro del firewall, está conectado

 02:05a toda la red de Aupticon.

 02:06Puede obtener toda la configuración estándar

 02:08y la contraseña en línea en 30 segundos, la obtuve

 02:10del sitio web del fabricante.

 02:11Entonces, escanearon la mayor parte de la red,

 02:14no escanearon el termostato.

 02:16¿Entonces qué?

 02:17Luego me fui a explorar.

 02:18Era una red totalmente plana, sin subredes ni nada.

 02:21Podía verlo todo: expedientes de recursos humanos, documentos legales, R&D.

 02:25Cuando encontré los planos, me di cuenta de que podía

 02:27ganar algo de dinero con estos archivos.

 02:29¿Qué pasó después de que enviaste los archivos?

 02:31Bueno, luego quemé todo.

 02:35Borré todo lo que pude encontrar, cifré las unidades

 02:38y eliminé las copias de seguridad.

 02:40¿Se cayó la red?

  02:42Hackeado la base de datos.

 02:43Vamos a tener que hacer una

 02:44restauración completa de las copias de seguridad.

 02:46No, las copias de seguridad están encriptadas.

 02:47Esto es deliberado, es una infracción importante.

 02:49Malware.

 02:50Tenemos que llamar al FBI.

 02:51Estaba asustado, estaba tratando de cubrir mis huellas.

 02:54¿Y alguien te pagó cuánto exactamente?

 02:5875 Bitcoins.

 03:00Bien, no es suficiente para jubilarse, pero aun así.

 03:08Muy bien, Brian Page, ¿estás seguro

 03:11de que no sabes quién te pagó?

 03:14El fabricante de automóviles europeo QCAR

 03:15ha vencido a Aupticon en el mercado con su sedán QX,

 03:18el primer automóvil autónomo del mundo.

 03:20Las acciones de Aupticon cayeron un 11 por ciento.

 03:23(música pulsante dramática)

 03:31(swoosh rápido)

2.1.2 Las redes son objetivos

Las redes sistemáticamente sufren ataques. Es común leer en las noticias que otra red que se ha
comprometido. Una búsqueda rápida en Internet de ataques a la red arrojará muchos artículos
sobre ataques a la red, incluidas noticias sobre organizaciones que han sido comprometidas, las
últimas amenazas a la seguridad de la red, herramientas para mitigar ataques y mucho más.

Para ayudarlo a comprender la gravedad de la situación, Kapersky mantiene la visualización

interactiva de Cyberthreat Real-Time Map de los ataques a la red actuales. Los datos del ataque se
envían desde los productos de seguridad de red de Kapersky que se implementan en todo el
mundo. La figura muestra una captura de pantalla de muestra de esta herramienta web, que
muestra estos ataques en tiempo real. Muchas herramientas similares están disponibles en
Internet y se pueden encontrar buscando mapas de amenazas cibernéticas.
2.1.3 Razones para la seguridad de la red

La seguridad de la red se relaciona directamente con la continuidad del negocio de una

organización. Las transgresiones de seguridad en la red pueden interrumpir el comercio
electrónico, causar la pérdida de datos comerciales, amenazar la privacidad de las personas y
comprometer la integridad de la información. Estas transgresiones pueden dar como resultado la
pérdida de ingresos para las corporaciones, el robo de propiedad intelectual, demandas judiciales
e incluso pueden amenazar la seguridad pública.

Mantener una red segura garantiza la seguridad de los usuarios de la red y protege los intereses
comerciales. Mantener una red segura requiere vigilancia por parte de los profesionales de
seguridad de la red de una organización. Deben estar constantemente al tanto de las amenazas y
los ataques a las redes nuevos y en evolución, y de las vulnerabilidades de los dispositivos y las
aplicaciones.

Muchas herramientas están disponibles para ayudar a los administradores de red a adaptar,
desarrollar e implementar técnicas de mitigación de amenazas. Por ejemplo, el sitio web de Cisco
Talos Intelligence Group, que se muestra en la figura, proporciona seguridad integral e inteligencia
de amenazas para defender a los clientes y proteger sus activos.
Otro grupo, llamado Cisco Product Security Incident Response Team (PSIRT), es responsable de
investigar y mitigar las posibles vulnerabilidades en los productos Cisco. La figura muestra una
página de muestra de Cisco Security Advisories que enumera estas vulnerabilidades en tiempo real
y proporciona a los administradores de red información para mitigarlas.

2.1.4 Vectores de Ataques de Red

Un vector de ataque es una ruta por la cual un atacante puede obtener acceso a un servidor, host o
red. Los vectores de ataque se originan dentro o fuera de la red corporativa, como se muestra en la
figura. Por ejemplo, las amenazas pueden apuntar a una red a través de Internet, para interrumpir
las operaciones de la red y crear un ataque de denegación de servicio (DoS).

Amenazas internas y externas

Nota: Un ataque DoS ocurre cuando un dispositivo o aplicación de red está incapacitado y ya no es
capaz de admitir solicitudes de usuarios legítimos.

Un usuario interno, como un empleado o un consultor, puede de manera accidental o intencional:

 Robar y copiar datos confidenciales a dispositivos de almacenaje, correos electrónicos,

software de mensajería y otros medios.

 Comprometer servidores internos o dispositivos de infraestructura de red.

 Desconectar una conexión de red crítica y provoquar una interrupción de la red.

 Conecte una unidad USB infectada a un sistema informático corporativo.

Las amenazas internas tienen el potencial de causar mayores daños que las amenazas externas
porque los usuarios internos tienen acceso directo al edificio y a sus dispositivos de
infraestructura. Los empleados también tienen conocimiento de la red corporativa, sus recursos y
sus datos confidenciales, así como diferentes niveles de usuario o privilegios administrativos.
Los profesionales de seguridad de red deben implementar herramientas y aplicar técnicas para
mitigar las amenazas externas e internas.

2.1.5 Pérdida de datos

Es probable que los datos sean el activo más valioso de una organización. Los datos de la
organización pueden tener que ver con investigación y desarrollo, ventas, finanzas, recursos
humanos, asuntos legales, empleados, contratistas y clientes.

Pérdida o filtración de datos son los términos utilizados para describir cuándo los datos se pierden
con o sin intención, son robados o se filtran fuera de la organización. La pérdida de datos puede
generar:

 Daño de la marca/pérdida de la reputación

 Pérdida de la ventaja competitiva

 Pérdida de clientes

 Pérdida de ingresos

 Acciones legales que generen multas y sanciones civiles

 Costo y esfuerzo significativos para notificar a las partes afectadas y recuperarse de la

transgresión

Los profesionales de seguridad de red deben proteger los datos de la organización. Se deben
implementar varios controles de prevención de pérdida de datos (DLP) que combinen medidas
estratégicas, operativas y tácticas.

Los vectores de pérdida de datos comunes se muestran en la tabla.

Seleccione los encabezados para obtener más información.

Correo electrónico / Redes sociales

El vector más común para la pérdida de datos incluye software de mensajería instantánea y los
sitios de medios sociales. Por ejemplo, el correo electrónico o ME interceptará ES mensajes puede
capturar y mostrar la información confidencial.

Dispositivos no encriptados

Una computadora portátil corporativa robada generalmente contiene datos confidenciales de la

organización. Si los datos no se almacenan utilizando un algoritmo de cifrado, entonces el ladrón
puede extraer datos confidenciales de valor.
Dispositivos de almacenamiento en la nube

Guardar datos en la nube tiene muchos beneficios potenciales. Sin embargo, los datos
confidenciales se pueden perder si el acceso a la nube se ve comprometido debido a una
configuración de seguridad débil.

Medios Extraíbles

Un riesgo es que un empleado pueda realizar una transferencia no autorizada de datos a un

dispositivo USB. Otro riesgo es que el dispositivo USB que contiene datos corporativos de valor se
puede extraviar.

Respaldo físico

Los datos corporativos deben eliminarse completamente. Por ejemplo, los datos confidenciales
deben triturarse cuando ya no se necesiten. De lo contrario, un ladrón podría recuperar informes
descartados y obtener información valiosa.

Control de acceso incorrecto

Las contraseñas son la primera línea de defensa. Las contraseñas robadas o las contraseñas débiles
que se han visto comprometidas pueden proporcionar a un atacante un fácil acceso a los datos
corporativos.

2.1.6 Vídeo de PT - investigar un panorama de amenazas

 Transcripción
 16px (por defecto)
 Español
 00:00El panorama de amenazas
 00:02consta de todas las vulnerabilidades
 00:04que pueden explotar los actores de amenazas.
 00:06Cada incidente de ciberseguridad
 00:08implica la explotación de vulnerabilidades
 00:10por parte de diferentes tipos de actores de amenazas.
 00:13Algunos actores de amenazas quieren dinero,
 00:15otros quieren ser famosos
 00:16y otros quieren destruir la información
 00:18y la infraestructura.
 00:20En esta actividad, investigue un panorama de amenazas,
 00:23investigará tres vulnerabilidades
 00:26que los actores de amenazas pueden explotar.
 00:28Packet Tracer se abre en Greenville,
 00:31el centro de datos y el ISP están bloqueados
 00:34para esta actividad.
 00:36Utilizará la sucursal,
 00:39el café
 00:42y un hogar
 00:44Primera parte, investigue una vulnerabilidad de configuración de red.
 00:49A veces, las vulnerabilidades de seguridad de la red
 00:51pueden ocurrir por accidente.
 00:53Por ejemplo, olvidarse de actualizar el servidor
 00:55o el software del host puede exponer vulnerabilidades conocidas
 00:59que podrían mitigarse fácilmente con una simple actualización.
 01:02Pueden introducirse vulnerabilidades
 01:04cuando un dispositivo de red no está configurado correctamente
 01:07o un dispositivo es defectuoso.
 01:09En la primera parte, explorará una vulnerabilidad
 01:12que resulta de un dispositivo que no está configurado correctamente
 01:15con las mejores prácticas de seguridad.
 01:17El primer paso es usar una red de invitados
 01:20para obtener acceso a otros dispositivos en la red.
 01:23En Greenville, ubique el teléfono inteligente tres,
 01:25justo afuera de la ubicación de la casa.
 01:30Mary es la dueña de este teléfono inteligente,
 01:33es amiga de Bob que vive en la casa.
 01:36Mary está estudiando para eventualmente conseguir un trabajo
 01:39en defensa de ciberseguridad
 01:41y está familiarizada con las pruebas de penetración de redes.
 01:44Se dio cuenta de que una red inalámbrica para invitados
 01:46está abierta y accesible para cualquier persona.
 01:49Se conectó a la red de invitados
 01:51y usó InMAP para ejecutar un escaneo,
 01:53que puede identificar y descubrir detalles
 01:55sobre todos los dispositivos activos.
 01:58Uno de los dispositivos parece ser una cámara web.
 02:01Su dirección IP es 192.168.100.101.
 02:06haga clic en el teléfono inteligente tres y luego haga clic en Símbolo del sistema.
 02:10Ingrese el comando, ping 192.168.100.101
 02:23Mary le informa a Bob que la red
 02:25es muy vulnerable a los ataques.
 02:27Alguien podría tomar el control de la cámara web, por ejemplo,
 02:30y ver videos desde el interior de la casa.
 02:32Bob invita a Mary a entrar e investigar el problema
 02:35y proponer una solución.
 02:38El segundo paso es explorar la red doméstica
 02:40para identificar la vulnerabilidad.
 02:42Haga clic en Inicio.
 02:44Sabiendo que los enrutadores domésticos
 02:45suelen controlar las redes inalámbricas domésticas,
 02:48Mary se dirige directamente a la oficina
 02:50y se sienta detrás del escritorio.
 02:51Ella usará la PC de la oficina en casa para conectarse al enrutador.
 02:54Pero primero, necesita determinar la dirección IP.
 02:57Haga clic en PC de oficina en casa, pestaña de escritorio y luego en Símbolo del sistema.
 03:05Ingrese el comando, ipconfig.
 03:08La puerta de enlace predeterminada es 192.168.100.1.
 03:13Esta es la dirección IP del enrutador inalámbrico doméstico.
 03:16Luego, Mary usa el navegador web
 03:18para conectarse al enrutador inalámbrico doméstico.
 03:20Cierre el símbolo del sistema y haga clic en el navegador web
 03:23y luego ingrese la dirección IP de la puerta de enlace predeterminada.
 03:29Bob no tiene la documentación del enrutador
 03:33ni conoce las credenciales de inicio de sesión.
 03:35Así que Mary busca el modelo de enrutador en Internet
 03:38y descubre que las credenciales predeterminadas usan admin
 03:41tanto para el nombre de usuario como para la contraseña
 03:43de inicio de sesión en el enrutador inalámbrico doméstico.
 03:49Haga clic en inalámbrico.
 03:52Observe que el enrutador tiene tres radios y
 03:54los tres están activos.
 03:56Dos usan la red doméstica SSID
 03:59y uno usa el invitado SSID.
 04:02Haga clic en el submenú de seguridad inalámbrica.
 04:06Note que la seguridad está activada
 04:09para los dos SSID de la red doméstica,
 04:12pero no para el SSID invitado.
 04:16Mary pudo acceder a la red desde el exterior
 04:18sin iniciar sesión,
 04:20por lo que investiga más a fondo.
 04:22Haga clic en el submenú de la red de invitados
 04:24e investigue la configuración.
 04:28Observe que la red de invitados está activa,
 04:31tiene acceso permitido a otros dispositivos en la red
 04:35y no tiene seguridad habilitada.
 04:38La red de invitados debe desactivarse
 04:41o configurarse con seguridad básica,
 04:43como autenticación fuerte,
 04:45transmisión de SSID deshabilitada y
 04:48acceso a dispositivos de red local deshabilitado.
 04:54Segunda parte, investigue una vulnerabilidad de malware de phishing.
 04:58El phishing es un tipo de ataque de ingeniería social
 05:00en el que los actores de amenazas se disfrazan
 05:03como una fuente legítima y confiable
 05:05para engañarlo para que instale malware
 05:08en su dispositivo
 05:09o comparta información personal o financiera.
 05:12Los ataques de phishing suelen venir a través de correos electrónicos
 05:15o llamadas telefónicas.
 05:16A diferencia de otras vulnerabilidades de la red,
 05:18la principal vulnerabilidad en los ataques de phishing
 05:21es la del usuario de la red.
 05:23Por esta razón, una defensa importante contra el phishing
 05:26es capacitar a los usuarios sobre cómo prevenir las vulnerabilidades de phishing.
 05:30En la segunda parte, simulará e investigará
 05:33un ataque de phishing.
 05:35Antes de continuar, es importante tener en cuenta
 05:37que esta es una demostración dentro de un entorno simulado.
 05:41Escribir y enviar mensajes de phishing no es ético
 05:45y se considera un acto delictivo en la mayoría de las jurisdicciones.
 05:48El primer paso es hacerse pasar por un actor de amenazas
 05:51y crear un correo electrónico de phishing,
 05:53navegar a la red de cafeterías.
 05:57Haga clic en café, computadora portátil hacker, pestaña de escritorio, correo electrónico.
 06:04Haz clic en redactar.
 06:05Usa tu imaginación para escribir un correo electrónico de phishing.
 06:08Su objetivo es persuadir al usuario
 06:10para que copie y pegue una URL de su mensaje de correo electrónico
 06:14en su navegador,
 06:16incluya el enlace pix.example.com en el correo electrónico,
 06:20ya tengo uno redactado.
 06:22Estimado cliente,
 06:24hemos experimentado una cantidad inusual
 06:26de actividad en su cuenta.
 06:28Su nombre de usuario y contraseña pueden verse comprometidos.
 06:30Visite el siguiente sitio para restablecer su contraseña
 06:34pix.ejemplo.com.
 06:36Tenga en cuenta que por motivos de seguridad,
 06:38copie el enlace y péguelo en su navegador web.
 06:41Respetuosamente, Equipo de seguridad de PIX.
 06:46Envíe su correo electrónico a tres personas
 06:47dentro de la red de sucursales.
 06:57Espere un mensaje de éxito enviado.
 07:00Packet Tracer puede tardar unos minutos en converger.
 07:14El segundo paso es abrir los correos electrónicos recibidos del actor de amenazas.
 07:18Navegue a la sucursal.
 07:22Los tres dispositivos recibieron el correo electrónico.
 07:24Hagamos clic en la computadora portátil BR2.
 07:29Haga clic en la pestaña de escritorio, correo electrónico y luego haga clic en recibir.
 07:36El tercer paso es plantear una víctima
 07:38y seguir las instrucciones de phishing.
 07:41Lea el correo electrónico y copie la dirección del sitio web.
 07:46Cierre la ventana del navegador de correo y luego haga clic en navegador web.
 07:51Pegue la URL en el campo URL y haga clic en Ir.
 07:57Packet Tracer puede tardar hasta un minuto en converger.
 08:00Puede hacer clic en el tiempo de avance rápido para acelerar el proceso.
 08:05Recibimos un mensaje que dice que el disco duro
 08:07ha sido encriptado
 08:08y que tendremos que pagar $600 para recuperar los archivos.
 08:12Este es un ejemplo de un ataque de ransomware.
 08:15En una situación del mundo real,
 08:16este correo electrónico generalmente se propaga por un virus
 08:19que envía automáticamente correos electrónicos maliciosos
 08:22a todas las direcciones en su lista de contactos.
 08:24Si el virus propaga este mensaje
 08:26a todos en la red,
 08:27y esos usuarios también siguen las instrucciones,
 08:30entonces se podrían cifrar numerosos discos duros
 08:33y se podría perder una gran cantidad de datos.
 08:35En algunos casos, las empresas y otras organizaciones
 08:38han pagado miles de dólares
 08:39con la esperanza de recuperar los datos cifrados.
 08:42Los empleados deben recibir capacitación sobre cómo identificar correos electrónicos de phishing
 08:46y las acciones que deben tomarse para evitar
 08:48convertirse en víctimas.
 08:49Además, las organizaciones deben configurar firewalls,
 08:53prevención de intrusiones y otros dispositivos
 08:57y software de seguridad para bloquear los correos electrónicos de phishing
 09:00antes de ingresar a la red.
 09:01Algunas empresas se suscriben a servicios
 09:03que compilan y mantienen listas de sitios web maliciosos.
 09:07Los dispositivos de seguridad de la organización
 09:10pueden usar estas listas para actualizar automáticamente los filtros
 09:13para bloquear el tráfico malicioso.
 09:17Tercera parte, investigue una red inalámbrica
 09:20y una vulnerabilidad de DNS.
 09:22Su usuario de red promedio tiende a confiar en las redes
 09:26WiFi abiertas en lugares públicos.
 09:28El uso de WiFi en lugar de los servicios de datos móviles
 09:31puede proporcionar velocidades de datos más rápidas
 09:33y ser más rentable.
 09:34Sin embargo, los actores de amenazas pueden configurar una computadora portátil
 09:37con una interfaz WiFi q
 09:39ue puede actuar como un punto de acceso WiFi
 09:42y un cliente WiFi.
 09:44Esto significa que los actores de amenazas
 09:45pueden crear sus propias redes inalámbricas
 09:48y transmitir un SSID convincente
 09:50a las posibles víctimas en lugares públicos.
 09:53Los actores de amenazas utilizan estos puntos de acceso no autorizados
 09:56para crear ataques de intermediarios.
 09:58En este ataque, los actores de amenazas pueden capturar
 10:00y leer todo el tráfico inalámbrico de los dispositivos
 10:03que se asocian con un punto de acceso no autorizado,
 10:06lo que potencialmente les permite aprender nombres de usuario, contraseñas
 10:09y otra información confidencial.
 10:11En la tercera parte, investigará
 10:13cómo se puede usar un punto de acceso no autorizado para atraer a los usuarios
 10:17a conectarse a una red inalámbrica falsa.
 10:19Cuando se combina con servicios de red
 10:21como DHCP y DNS,
 10:24los usuarios pueden convertirse en víctimas de ataques de sitios web maliciosos
 10:28a través del secuestro de DNS.
 10:30El primer paso es conectarse a la red inalámbrica de los actores de amenazas,
 10:34navegar hasta el café.
 10:36Observe al actor de amenazas sentado en la esquina.
 10:39Haz clic en la mochila del hacker
 10:40e investiga el contenido.
 10:43En su mochila, tiene un enrutador inalámbrico
 10:46y un rastreador de red.
 10:47Su objetivo es interceptar el tráfico de usuarios
 10:50y dirigirlo a un servidor malicioso.
 10:52Regrese a la cafetería y haga clic en la computadora portátil del cliente de la cafetería,
 10:56en la pestaña de escritorio, en la PC inalámbrica,
 11:02haga clic en la pestaña de conexión.
 11:04Es posible que deba hacer clic en Actualizar
 11:05para ver toda la lista de redes inalámbricas disponibles.
 11:14Observe que tres de los nombres de las redes inalámbricas
 11:16son Cafe WiFi Fast.
 11:18Estas son redes abiertas,
 11:20lo que significa que no hay seguridad habilitada.
 11:30La red WiFi del café tiene seguridad.
 11:33Haga clic en cualquiera de los nombres de redes rápidas de café WiFi
 11:37y luego haga clic en conectar.
 11:41El segundo paso es visitar su sitio de redes sociales favorito.
 11:45Cierre la aplicación inalámbrica de la PC y haga clic en navegador web.
 11:52En el campo URL,
 11:53ingrese amigos.ejemplo.com.
 11:56Se supone que este sitio web es una red social legítima
 11:59en esta simulación.
 12:05Tenga en cuenta que aunque la URL es diferente
 12:08de la que ingresamos anteriormente,
 12:10recibimos el mismo mensaje de ransomware que recibimos en la segunda parte.
 12:15Paso tres, en su lugar, investigue la fuente del ataque.
 12:18Cierre la ventana del navegador web y haga clic en Configuración de IP.
 12:24En el café, haga clic en VPN portátil y luego en Configuración de IP.
 12:31Haga clic en Cliente de Café en la barra de tareas
 12:33para volver a verlo
 12:35y luego organice las dos ventanas de configuración de IP
 12:38una al lado de la otra.
 12:43Compare los valores entre los dos dispositivos.
 12:46Tenga en cuenta que las direcciones IP del host son diferentes,
 12:48pero esto es normal.
 12:50Sin embargo, si comprende la división en subredes,
 12:53puede ver que los dos dispositivos están en redes diferentes.
 12:57La computadora portátil VPN está en la red cero
 13:02y los clientes del café en la red 10.
 13:05Además, las direcciones del servidor DNS son diferentes.
 13:0910.2.0.125 en la computadora portátil VPN y 192.168.10.199
 13:17en la computadora portátil del cliente del café.
 13:20Investigue la dirección IP de la computadora portátil cafe hacker.
 13:27Observe que es 192.168.10.199,
 13:33que es la dirección del servidor DNS
 13:35configurada en la computadora portátil del cliente del café.
 13:42En la computadora portátil cafe hacker,
  13:44haga clic en la pestaña de servicios, DNS.
 13:49Busque el nombre del sitio web friends.example.com.
 13:55Tenga en cuenta que la dirección IP
 13:58es la misma que está asociada con pix.example.com
 14:01del ataque de pesca anterior,
 14:0510.6.0.250.
 14:08En servicios, haga clic en DHCP.
 14:15Tenga en cuenta que la dirección del servidor DNS
 14:17distribuida al host a través de DHCP
 14:20es la misma asignada al cliente del café.
 14:23Entonces, ¿qué pasó aquí?
 14:30Cuando el cliente del café se conectó a la red inalámbrica
 14:33del punto de acceso no autorizado,
 14:35recibió una configuración de dirección IP
 14:37del servidor DHCP que se ejecuta en la computadora portátil del hacker del café.
 14:41El servidor DHCP está configurado para distribuir la dirección
 14:46de la computadora portátil del pirata informático como la dirección del servidor DNS.
 14:49El servidor DNS en la computadora portátil cafe hacker
 14:52está configurado para asociar la dirección IP
 14:55de un servidor malicioso 10.6.0.250,
 15:00con el nombre de un sitio web popular,
 15:02friends.example.com.
 15:05Cuando el usuario de la computadora portátil del café
 15:07intenta visitar el sitio web,
 15:09el tráfico se dirige al servidor malicioso.
 15:13Luego, el ransomware se instala en la computadora portátil del cliente del café
 15:17y los archivos del usuario se cifran.
 15:21En esta actividad, hemos analizado tres formas diferentes
 15:25en las que las vulnerabilidades pueden conducir a explotaciones.
 15:28Como usuario de la red informado o profesional de la seguridad cibernética,
 15:32es su responsabilidad pensar en las diferentes formas
 15:35en que se pueden detectar y mitigar tales vulnerabilidades
 15:38antes de que ocurra un ataque cibernético.

2.1.7 Vídeo de PT - investigar un panorama de amenazas

En esta actividad de Packet Tracer, cumplirá los siguientes objetivos:

 Parte 1: Investigar una vulnerabilidad de configuración de la red

 Parte 2: investigar una vulnerabilidad de malware de suplantación de identidad

 Parte 3: Investigar una red inalámbrica y la vulnerabilidad de DNS

=============================================================================
Investigar un panorama de amenazas

Packet Tracer: investiga un panorama de amenazas

Objetivos

Parte 1: Investigar una vulnerabilidad de configuración de la red

Parte 2: investigar una vulnerabilidad de malware de suplantación de identidad

Parte 3: Investigar una red inalámbrica y la vulnerabilidad de DNS

Trasfondo/Situación

El panorama de amenazas consta de todas las vulnerabilidades que los agentes de amenazas
pueden aprovechar. Cada incidente de ciberseguridad implica la explotación de vulnerabilidades
por diferentes tipos de agentes de amenazas. Algunos agentes de amenazas quieren dinero,
otros quieren ser famosos y otros quieren destruir información e infraestructura.

En esta actividad, investigará tres vulnerabilidades que los agentes de amenazas pueden
aprovechar.

Nota: En esta actividad, tanto el centro de datos como los sitios de ISP / Telco están bloqueados.

Instrucciones

Parte 1: Investigar una vulnerabilidad de configuración de la red

A veces, las vulnerabilidades de seguridad de la red pueden ocurrir por accidente. Por ejemplo,
olvidarse de actualizar el software de servidor o host puede exponer vulnerabilidades conocidas
que podrían mitigarse fácilmente con una simple actualización. De manera similar, pueden
introducirse vulnerabilidades cuando un dispositivo de red no está configurado correctamente o
un dispositivo es defectuoso. En esta parte, explorará una vulnerabilidad que resulta de un
dispositivo que no está configurado correctamente con las mejores prácticas de seguridad.

Paso 1: Use una red de invitados para obtener acceso a otros dispositivos en la red.

a.En Greenville, ubique el teléfono inteligente 3 a las afueras de la ubicación de inicio.

Mary es la dueña de este smartphone. Es amiga de Bob y vive en la casa. Mary está estudiando
para eventualmente obtener un trabajo en defensa de ciberseguridad y está familiarizada con
las pruebas de penetración de la red. Se dio cuenta de que una red inalámbrica para invitados
está abierta y accesible para todos. Se conectó a la red de invitados y usó Nmap para ejecutar
un análisis, que puede identificar y descubrir detalles sobre todos los dispositivos activos. Uno de
los dispositivos parece ser una cámara web. Su dirección IP es 192.168.100.101.

b. Haga clic en Smartphone 3, y luego en Command Prompt. Introduzca el comando ping

192.168.100.101 Después de uno o dos mensajes de "Tiempo de espera de solicitud agotado",
los pings restantes deben ser correctos.

Mary informa a Bob que la red es muy vulnerable a los ataques. Alguien podría tomar el control
de la cámara web, por ejemplo, y ver videos desde el interior de la casa. Bob invita a María a
entrar, investigar el problema y proponer una solución.

Paso 2: Explore la red doméstica para identificar la vulnerabilidad.

a. Haga clic en Inicio. Sabiendo que los routers domésticos generalmente controlan las redes
inalámbricas domésticas, Mary se dirige directamente a la oficina en casa y se sienta detrás del
escritorio. Utilizará la PC Home Office para conectarse al router. Pero primero debe determinar la
dirección IP.

b.Haga clic en PC Home Office> Pestaña Escritorio> Command Prompt y escriba el comando
ipconfig.

El gateway predeterminado es la dirección IP del router inalámbrico doméstico.

Pregunta:

¿Cuál es la dirección IP?

Área de respuesta

Mostrar respuesta
c.A continuación, Mary utiliza el navegador web para conectarse al router inalámbrico
doméstico. Cierre el Command Prompt (Símbolo del sistema) y haga click en Web
Browser(Navegador Web) . Ingrese la dirección IP del gateway predeterminado.

d.Bob no tiene la documentación del router ni conoce las credenciales de inicio de sesión. Mary
busca el modelo de router en Internet y descubre que las credenciales predeterminadas
usan admin tanto para el nombre de usuario como para la contraseña. Inicie sesión en el router
inalámbrico doméstico.

e.Haga clic en Wireless Revise la configuración inalámbrica básica para cada una de las tres
radios que forman parte del router inalámbrico.

Preguntas:

¿Cuáles de las radios están activas?

Área de respuesta

Mostrar respuesta

¿Cuáles son los SSID asignados a estas radios?

Área de respuesta

Mostrar respuesta

f. Haga clic en el submenú Wireless Security (Seguridad inalámbrica).

Pregunta:

¿La seguridad está activada para cada una de las radios? ¿Se configuran las contraseñas?

Área de respuesta

Mostrar respuesta

g.Mary pudo acceder a la red desde el exterior sin iniciar sesión; por lo tanto, ella investiga más
a fondo. Haga clic en el submenú Red de invitados e investigue la configuración.

Pregunta:

¿La red de usuarios temporales está activa? Si es así, ¿en qué radio?

Área de respuesta

Mostrar respuesta

Una red inalámbrica de usuarios temporales solo debe proporcionar acceso a Internet a los
usuarios temporales. No debe permitir que los invitados accedan a los dispositivos en la red local
dentro de la casa. En este caso, los invitados pueden acceder a la red local. Esto indica que el
router doméstico está mal configurado.

Pregunta:

¿Qué propondría que haga Bob para proteger esta red?

Área de respuesta

Mostrar respuesta

Parte 2: Investigar una vulnerabilidad de malware de suplantación de identidad

La suplantación de identidad es un tipo de ataque de ingeniería social en el que un agente de

amenazas se disfraza como una fuente legítima y confiable para engañarlo para que instale
malware en su dispositivo o para compartir información personal o financiera. Los ataques de
suplantación de identidad generalmente ocurren a través de correos electrónicos o llamadas
telefónicas. A diferencia de otras vulnerabilidades de red, la principal vulnerabilidad en los
ataques de suplantación de identidad son los usuarios de la red. Por este motivo, una defensa
importante contra la suplantación de identidad es capacitar a los usuarios sobre cómo prevenir
ataques de suplantación de identidad.

En esta parte, simulará e investigará un ataque de suplantación de identidad.

Nota: Esta actividad es solo para fines de demostración. Escribir y enviar mensajes de correo
electrónico de suplantación de identidad no es ético y se considera un ataque criminal en la
mayoría de las jurisdicciones.

Paso 1: Actúe como un agente de amenazas y cree un correo electrónico de suplantación de

identidad.

a. Vaya a la red del Café

b.Haga clic en la computadora portátil Café Hacker> ficha Escritorio> Correo electrónico.

c. Haga clic en Compose.

Utilice su imaginación para escribir un correo electrónico de suplantación de identidad. Su

objetivo es persuadir al usuario para que copie y pegue una URL de su mensaje de correo
electrónico en su navegador. Incluya el enlace pix.example.com en el correo electrónico. Puede
buscar, por ejemplo, correos electrónicos de suplantación de identidad en línea para ver cómo
los agentes de amenazas escriben este tipo de correo electrónico.

Nota: Los enlaces en correos electrónicos de suplantación de identidad suelen ser enlaces
activos o "activos". Todo lo que la víctima tiene que hacer es hacer clic. Sin embargo, Packet
Tracer no admite el uso de enlaces activos dentro del cliente de correo electrónico.

d.Envíe su correo electrónico a tres personas dentro de la red de la sucursal. Sus direcciones de
correo electrónico son las siguientes:

o [email protected]

o [email protected]

o [email protected]

Paso 2: Abra los correos electrónicos recibidos del agente de amenazas.

a.Acceda a la sucursal .

b.Haga clic en uno de los dispositivos, ya sea PC-BR1, Laptop BR-1 o Laptop BR-2.

c.Haga clic en la pestaña Desktopy luego haga clic en Email y finalmente en Receive (Recibir).
Debería recibir el correo electrónico que acaba de enviar.

Nota: Packet Tracer puede tardar varios segundos en converger. Es posible que deba hacer clic
en Recibir varias veces si el correo electrónico no se recupera correctamente.

d.Opcional: vaya a los otros dispositivos de la víctima, abra su cliente de correo electrónico y
haga clic en Recibir para verificar que también recibió su correo electrónico de suplantación de
identidad.

Paso 3: Actúe como una víctima y siga las instrucciones de suplantación de identidad.

a.Lea el correo electrónico y copie la dirección del sitio web.

b. Cierre el Navegador de Correo , y luego haga clic en el Navegador Web.

c.Pegue la URL en el campo URL y luego vaya.

Nota: Packet Tracer puede tardar varios segundos en converger. Pueden hacer clic en Fast
Forward Time (Adelantar el tiempo) (Alt+D) para acelerar el proceso.

Preguntas:

¿Qué sucedió cuando se cargó la página web?

Área de respuesta

Mostrar respuesta

¿Cómo se llama este tipo de ataque?

Área de respuesta

Mostrar respuesta

En una situación del mundo real, este correo electrónico generalmente se transmite por un virus
que envía automáticamente correos electrónicos maliciosos a todas las direcciones de su lista de
contactos.

Pregunta:

Describa el daño que este tipo de ataque puede causar dentro de una organización.

Área de respuesta

Mostrar respuesta

Los empleados deben recibir capacitación sobre cómo identificar los correos electrónicos de
suplantación de identidad y las medidas que se deben tomar para evitar que sufran daños.
Además, las organizaciones pueden configurar firewalls, sistemas de prevención de intrusiones y
otros dispositivos y software de seguridad para bloquear correos electrónicos de suplantación de
identidad antes de ingresar a la red. Algunas empresas se suscriben a servicios que recopilan y
mantienen listas de sitios web maliciosos. Los dispositivos de seguridad de la organización
pueden utilizar estas listas para actualizar automáticamente los filtros para bloquear el tráfico
malicioso.

Parte 3: Investigunaar red inalámbrica y una vulnerabilidad de DNS

El usuario promedio de la red tiende a confiar en las redes Wi-Fi abiertas en lugares públicos. El
uso de Wi-Fi en su lugar, los servicios de datos móviles pueden proporcionar velocidades de
transmisión de datos más rápidas y ser más rentables. Sin embargo, los agentes de amenazas
pueden configurar una computadora portátil con una interfaz Wi-Fi que pueda actuar como
punto de acceso y cliente de Wi-Fi. Esto significa que los creadores de amenazas pueden crear
sus propias redes inalámbricas y transmitir un SSID convincente a las posibles víctimas en
lugares públicos. Los actores de amenazas utilizan estos puntos de acceso dudosos para crear
ataques de ataque principal. En este ataque, los creadores de amenazas pueden capturar y leer
todo el tráfico inalámbrico de los dispositivos que se asocian con el punto de acceso dudoso, lo
que posiblemente aprenda nombres de usuario, contraseñas y otra información confidencial.

En esta parte, investigará cómo se puede utilizar un punto de acceso dudoso para atraer a los
usuarios a conectarse a una red inalámbrica falsa. Cuando se combinan con servicios de red
como DHCP y DNS, los usuarios pueden ser víctimas de ataques maliciosos a sitios web
mediante el secuestro de DNS.

Paso 1: Conéctese a la red inalámbrica del agente de amenazas.

a.Navegue hasta el Café. Observe al actor de amenazas sentado en la esquina.

b.Haga clic en la Hacker Backpack e investigue el contenido. En su mochila, tiene un router

inalámbrico y un sniffer de red. Su objetivo es interceptar el tráfico de usuarios y dirigirlo a un
servidor malicioso.
c.Regrese a Café y haga clic en la computadora portátil del cliente de Cafe> ficha Escritorio>
Aplicación inalámbrica de PC.

d. Haga clic en la pestaña Connect. Será necesario que haga clic en Actualizar para ver la lista
de redes disponibles.

Pregunta:

Si estuviera en el Cafe, ¿a qué red inalámbrica elegiría conectarse? Explique.

Área de respuesta

Mostrar respuesta

e.Haga clic en cualquiera de los nombres de red de Cafe_WI-FI_FAST y luego en Conectar.

Paso 2: Visite su sitio de medios sociales favorito.

a.Cierre la aplicación PC Wireless y haga clic en Navegador web.

b.En el campo URL, ingrese amigos.example.com y haga clic en Ir. Se supone que este sitio web
es una red social legítima en esta simulación.

Preguntas:

¿Qué ocurrió?

Área de respuesta

Mostrar respuesta

¿Cuál fue la URL del servidor de malware que se utilizó en el escenario de ataque de
suplantación de identidad? ¿Es lo mismo?

Área de respuesta

Mostrar respuesta

Paso 3: Investigar el origen del ataque.

a.Cierre el Navegador Web y luego haga clic en IP Configuration(Configuración de IP) .

b.En el Café, haga clic en Laptop VPN> ficha Desktop> IP Configuration.

c.Haga clic en Cafe Customer (Cliente del Café) en la barra de tareas para volver a verlo y luego
organice las dos ventanas de configuración de IP una al lado de la otra. Compare los valores
entre los dos dispositivos.

Preguntas:

¿Cuáles son las diferencias entre las direcciones de las dos computadoras portátiles?

Área de respuesta

Mostrar respuesta

d.Investigar la computadora portátil Cafe Hacker.

Pregunta:

¿Cuál es su dirección IP? ¿Por qué es esto significativo?

Área de respuesta

Mostrar respuesta
En la computadora portátil del Hacker del Cafe, haga clic en la ficha Servicios> DNS.Hacker

e.Busque el nombre del sitio web de amigos.example.com. Tenga en cuenta que la dirección IP
es la misma dirección IP asociada con pix.example.com del ataque de suplantación de identidad
anterior.

f.En Servicios, haga clic en DHCP. Tenga en cuenta que la dirección del servidor DNS distribuida a
los hosts a través de DHCP es la misma asignada al cliente de Cafe.

Pregunta:

¿Cuáles son los pasos en este ataque?

Área de respuesta

Mostrar respuesta

Resumen

En esta actividad, hemos analizado tres formas diferentes en las que las vulnerabilidades
pueden generar vulnerabilidades. Como usuario informado de la red o profesional de
ciberseguridad, es su responsabilidad pensar en las diferentes maneras en que dichas
vulnerabilidades pueden detectarse y mitigarse antes de que ocurra un ataque cibernético.

================================================================================

2.2 ¿Quién está atacando nuestra red?

2.2.1 Amenaza, vulnerabilidad y riesgo

Estamos bajo ataque y los atacantes quieren tener acceso a nuestros activos. Los activos son
cualquier elemento de valor para una organización, tales como datos y cualquier tipo de propiedad
intelectual, servidores, computadoras, teléfonos inteligentes, tabletas y más.

Para entender mejor cualquier debate sobre seguridad de la red, es importante conocer los
siguientes términos:

Amenaza
El peligro potencial de un recurso, como los datos o la propia red.

Vulnerabilidad

Una debilidad en un sistema o en su diseño que podría ser aprovechada por una amenaza.

Superficie de ataque

Una superficie de ataque es la suma total de las vulnerabilidades presentes en un determinado

sistema las cuales son accesibles para un atacante. La superficie de ataque detalla los diferentes
puntos donde un atacante podría entrar en un sistema y donde podría obtener datos del sistema.
Por ejemplo, su sistema operativo y navegador web podrían ambos necesitar parches de
seguridad. Cada uno de ellos es vulnerable a los ataques y están expuestos en la red o en Internet.
Juntos, ellos crean una superficie de ataque que un atacante podría aprovechar.

Ataque

Un ataque (exploit) es un mecanismo que es utilizado para aprovechar una vulnerabilidad y así
poner en riesgo un activo. Los ataques pueden ser locales o remotos. Un ataque remoto es uno
que tiene lugar en la red sin acceso previo al sistema de destino. El atacante no necesita una
cuenta en el sistema final para aprovechar la vulnerabilidad. En un ataque local, el agente de
amenaza tiene algún tipo de acceso de usuario o administrador al sistema final. Un ataque local no
significa, necesariamente, que el atacante tenga acceso físico al sistema final.

Riesgo

Es la probabilidad de que una amenaza específica aproveche una vulnerabilidad específica de un

activo y provoque un resultado indeseable como consecuencia.

La gestión de riesgos es el proceso que equilibra los costos operacionales de proporcionar

medidas de protección con los beneficios que brinda la protección de los activos. Existen cuatro
maneras comunes de gestionar el riesgo:

Aceptación de riesgos

Esto sucede cuando el costo de las opciones de gestión del riesgo sobrepasa el costo del riesgo
mismo. El riesgo es aceptado (o sea, es ignorado) y no se toma ninguna medida.

Evasión de riesgos

Esto significa evitar cualquier exposición al riesgo eliminando la actividad o el dispositivo que
presenta el riesgo. Al eliminar una actividad para evitar riesgos, también se pierden los beneficios
posibles de la actividad.
Reducción de riesgos

Esto reduce la exposición al riesgo o reduce el impacto del riesgo mediante la adopción de
medidas para disminuir el riesgo. Es la estrategia de mitigación de riesgos más comúnmente
utilizada. Esta estrategia requiere una evaluación cuidadosa de los costos de las pérdidas, la
estrategia de mitigación y los beneficios obtenidos de la operación o actividad en riesgo.

Transferencia de riesgos

Algunos o todos los riesgos son transferidos a un tercero que acepte hacerse cargo, como una
compañia de seguros.

Otros términos comúnmente utilizados en la seguridad de la red son los siguientes:

 Contramedida - las acciones que se toman para proteger los activos mitigando una
amenaza o reduciendo el riesgo.

 Impacto - El daño potencial que sufre la organización que es causada debido a la amenaza.

Nota: Un ataque local requiere el acceso interno a la red, por ejemplo, un usuario con una cuenta
en la red. Un ataque remoto no requiere una cuenta en la red para aprovechar su vulnerabilidad.

2.2.2 Hacker vs actor de amenazas

Como sabemos, “hacker” es un término comumente usado para describir a un atacante. Sin
embargo, el término "hacker" tiene una variedad de significados, como los siguientes:

 Un programador inteligente capaz de desarrollar nuevos programas y cambios de código

en los programas existentes para hacerlos más eficientes.

 Una red profesional que utiliza habilidades de programación sofisticadas para asegurar que
las redes no sean vulnerables a los ataques.

 Una persona que trata de obtener acceso no autorizado a los dispositivos en Internet.

 Una persona que ejecuta programas para prevenir o retardar el acceso a la red de un gran
número de usuarios, o para dañar o eliminar los datos en los servidores.

Un vector de ataque es una ruta por la cual un atacante puede obtener acceso a un servidor, host o
red. Los vectores de ataque se originan dentro o fuera de la red corporativa, como se muestra en la
figura. Por ejemplo, las amenazas pueden apuntar a una red a través de Internet, para interrumpir
las operaciones de la red y crear un ataque de denegación de servicio (DoS).

Amenazas internas y externas

Como se muestra en la figura, se suelen usar los términos hacker de sombrero blanco, hacker de
sombrero negro y hacker de sombrero gris para describir a los hackers.

1. Los hackers de sombrero blanco son hackers éticos que utilizan sus habilidades de
programación con fines buenos, éticos y legales. Pueden realizar pruebas de penetración
de redes con la finalidad de poner en riesgo los sistemas y las redes usando sus
conocimientos sobre sistemas de seguridad informática con el fin de detectar las
vulnerabilidades de la red. Las vulnerabilidades de seguridad son reportadas a los
desarrolladores y al personal de seguridad quienes intentaran arreglar la vulnerabilidad
antes que pueda ser explotada. Algunas organizaciones otorgan premios o recompensan a
los hackers de sombrero blanco cuando proveen información que ayuda a identificar
vulnerabilidades.

2. Los hackers de sombrero gris son personas que cometen delitos y realizan acciones
probablemente poco éticas, pero no para beneficio personal ni para causar daños. Un
ejemplo sería alguien que pone en riesgo una red sin permiso y luego divulga la
vulnerabilidad públicamente. Un hacker de sombrero gris puede divulgar una
vulnerabilidad la organización afectada después de haber puesto en peligro la red. Esto
permite que la organización solucione el problema.

3. Los hackers de sombrero negro son delincuentes poco éticos que violan la seguridad de
una computadora y una red para beneficio personal o por motivos maliciosos, como
ataques a la red. Los hackers de Sombrero Negro atacan las vulnerabilidades para
comprometer la computadora y los sistemas de red.
Bueno o malo, el hacking es un aspecto importante de la seguridad de la red. En este curso, el
término “agente de amenaza” se utiliza cuando se hace referencia a aquellos individuos o grupos
que podrían clasificarse como hackers de sombrero gris o negro.

2.2.3 Evolución de los actores de amenazas

El hacking comenzó en los sesenta con el “phone freaking” o el “phreaking”, una actividad que
hace referencia al uso de diversas frecuencias de audio para manipular los sistemas telefónicos. En
aquel momento, los sistemas telefónicos utilizaban varios tonos (o la marcación por tonos) para
indicar distintas funciones. Los primeros agentes de amenaza se dieron cuenta de que, imitando un
tono con un silbato, podían atacar los sistemas telefónicos y hacer llamadas de larga distancia
gratis.

A mediados de los ochenta, se usaban módems de acceso telefónico para conectar las
computadoras a las redes. Los agentes de amenaza desarrollaron programas de “war dialing” que
marcaban cada número de teléfono en un área determinada en busca de computadoras, sistemas
de tablón de anuncios y máquinas de fax. Cuando se encontraba un número de teléfono, se
utilizaban programas que descifren contraseñas para obtener acceso. Desde entonces, los perfiles
generales de los agentes de amenaza y sus motivos han cambiado un poco.

Existen muchos tipos diferentes de atacantes.

Script kiddies

El término “script kiddies” surgió en los noventa y se refiere a los atacantes adolescentes o
inexpertos que ejecutan scripts, herramientas y exploits existentes para ocasionar daño,
generalmente sin buscar obtener ganancias.

Vulnerability brokers

Por lo general, los "Vulnerability brokers" son hackers de sombrero gris que intentan descubrir los
ataques e informarlos a los proveedores, a veces a cambio de premios o recompensas.

Hacktivistas

Hacktivistas es un término que hace referencia a los hackers de sombrero gris que se reúnen y
protestan contra diferentes ideas políticas y sociales. Los hacktivistas protestan en público contra
las organizaciones o los gobiernos mediante la publicación de artículos, vídeos, la filtración de
información confidencial y la ejecución de ataques de denegación de servicio distribuida.

Ciberdelincuentes

El término Ciberdelincuente es utilizado para los hackers de sombrero negro que son
independientes o trabajan para grandes organizaciones de delito cibernético. Cada año, los
delincuentes cibernéticos son responsables de robar miles de millones de dólares de consumidores
y empresas.

Patrocinados por el estado

Los hackers patrocinados por el estado son agentes de amenaza que roban secretos de gobierno,
recogen inteligencia y sabotean las redes de gobiernos extranjeros, grupos terroristas y
corporaciones. La mayoría de los países del mundo participan en algún tipo de hacking patrocinado
por el estado. Según la perspectiva de cada persona, se trata de hackers de sombrero blanco o de
sombrero negro.

2.2.4 Ciberdelincuentes

Los ciberdelincuentes son agentes de amenaza cuya motivación es hacer dinero como sea. Aunque
los ciberdelincuentes trabajan de manera independiente algunas veces, lo más común es que
reciban financiación y patrocinio de organizaciones criminales. Se calcula que, en todo el mundo,
los ciberdelincuentes roban miles de millones de dólares de los consumidores y las empresas cada
año.

Los ciberdelincuentes hacen sus negocios en un mercado ilegal donde compran, venden e
intercambian ataques y herramientas. Ellos también compran y venden información personal y de
propiedad intelectual que roban de sus víctimas. Los ciberdelincuentes apuntan a pequeñas
empresas y consumidores, así como a grandes empresas e industrias.

2.2.5 Tareas de ciberseguridad

Los agentes de amenaza no discriminan. Atacan terminales vulnerables de usuarios domésticos y

pequeñas y medianas empresas, al igual que de organizaciones públicas y privadas importantes.

Para hacer más seguro el Internet y las redes, todos debemos desarrollar un buen nivel de
conocimiento sobre ciberseguridad. La ciberseguridad es una responsabilidad compartida que
deben practicar todos los usuarios. Por ejemplo, debemos informar los casos de ciberdelincuencia
a las autoridades competentes, ser conscientes de posibles amenazas en la web y en el correo
electrónico, y proteger de los robos la información importante.

Las organizaciones deben tomar medidas y proteger sus activos, usuarios y clientes. Deben
desarrollar e implementar tareas de ciberseguridad, como las que aparecen en la figura.
2.2.6 Indicadores de amenazas cibernéticas

Muchos ataques de red pueden ser prevenidos si se comparte la información acerca de los
Indicadores de Peligro (IOC). Cada ataque tiene atributos únicos que lo identifican. Los indicadores
de compromiso(IOC, por sus siglas en inglés) son la evidencia de que se ha producido un ataque.
Los IOC pueden ser características que identifican archivos de malware, direcciones IP de
servidores que se utilizan en ataques, nombres de archivos y cambios característicos realizados en
el software de un sistema final (end system), entre otros. Los IOC ayudan al personal de
ciberseguridad a identificar lo que ha ocurrido en un ataque y a desarrollar defensas contra el
ataque. En la figura se muestra un resumen del IOC para un fragmento de malware.
 Malware File - "studiox-link-standalone-v20.03.8-stable.exe"
sha256 6a6c28f5666b12beecd56a3d1d517e409b5d6866c03f9be44ddd9efffa90f1e0
sha1 eb019ad1c73ee69195c3fc84ebf44e95c147bef8
md5 3a104b73bb96dfed288097e9dc0a11a8
DNS requests
domain log.studiox.link
domain my.studiox.link
domain _sips._tcp.studiox.link
domain sip.studiox.link
Connections
ip 198.51.100.248
ip 203.0.113.82

Por ejemplo, un usuario recibe un correo electrónico en el que lee que ha sido el ganador de un
gran premio. Si hace clic en el enlace, el correo electrónico termina siendo un ataque. El IOC puede
incluir el hecho de que el usuario no interactuó con el correo, la dirección IP del remitente, la línea
del asunto del correo electrónico, el enlace incluido para hacer click o un archivo adjunto para
descargar, entre otros.

Los indicadores de ataque (IOA, por sus siglas en inglés) se centran más en la motivación detrás de
un ataque y en los medios potenciales por los que los atacantes han comprometido o
comprometerán las vulnerabilidades para acceder a los activos. Los IOA se interesan por las
estrategias que utilizan los atacantes. Por esta razón, en lugar de informar la respuesta a una sola
amenaza, los IOA pueden ayudar a generar un enfoque de seguridad proactivo. Esto se debe a que
las estrategias se pueden reutilizar en múltiples contextos y múltiples ataques. Por lo tanto,
defenderse contra una estrategia puede evitar futuros ataques que utilicen la misma estrategia o
estrategia similar.

2.2.7 Intercambio de información sobre amenazas y concientización sobre la ciberseguridad

En la actualidad, los gobiernos están promoviendo activamente la ciberseguridad. Por ejemplo, la

Agencia de Seguridad e Infraestructura de Ciberseguridad de los Estados Unidos (CISA, siglas en
inglés) está liderando los esfuerzos para automatizar el intercambio de información de
ciberseguridad con organizaciones públicas y privadas sin costo alguno. CISA utiliza un sistema
llamado Intercambio Automatizado de Indicadores (AIS, siglas en inglés). AIS permite el
intercambio de indicadores de ataque entre el gobierno de los Estados Unidos y el sector privado
tan pronto como las amenazas son verificadas. CISA ofrece muchos recursos que ayudan a limitar
el tamaño de la superficie de ataque de Los Estados Unidos.

La CISA y la Alianza Nacional de Ciberseguridad (NCSA) promueven la ciberseguridad para todos los
usuarios. Por ejemplo, tienen una campaña anual en octubre que se denomina “Mes de conciencia
sobre la ciberseguridad nacional (NCASM, siglas en inglés)”. Esta campaña fue desarrollada para
promover y crear conciencia sobre la ciberseguridad.

El tema de la NCASM para 2019 fue "Tú propio TI" Seguridad de TI. Protección de TI. Esta
campaña animó a todos los ciudadanos a ser más seguros y personalmente responsables en el uso
de las buenas prácticas de seguridad en línea. La campaña proporciona material sobre una amplia
variedad de temas de seguridad, entre ellos:

 Seguridad en las redes sociales

  Actualizar la configuración de privacidad

 Concientización de la seguridad en las aplicaciones

 Mantener el software actualizado

 Compras en línea seguras

 Seguridad Wi-Fi

 Proteger los datos de los clientes

La Agencia Europea de Seguridad de las Redes y de la Información (ENISA, siglas en inglés) ofrece
asesoramiento y soluciones para los desafíos de ciberseguridad de los Estados miembros de la
Unión Europea. ENISA cumple un papel en Europa similar al papel de CISA en los Estados Unidos.

2.2.8 - Verifique su conocimiento — ¿De qué color es mi sombrero?

Haga clic en el campo correspondiente junto a cada característica para indicar el tipo de hacker al
cual describe.

Ingresé en cajeros automáticos sin la autorización del fabricante y descubrí varias vulnerabilidades.
Luego me puse en contacto con el fabricante del cajero automático para compartir mis
conclusiones con ellos.

Seleccione una opción Sombrero gris

Instalé en secreto un dispositivo skimmer de tarjetas de débito en un cajero automático. Unos días
más tarde, lo recuperé y había capturado los números de cuenta y los números PIN de más de
1000 personas. Luego procedí a transferir dinero de sus cuentas a una cuenta bancaria en el
exterior.

Seleccione una opción Sombrero Negro

Mi trabajo es identificar las debilidades en el sistema informático de mi empresa.

Seleccione una opció Sombrero blanco

Utilicé malware para comprometer varios sistemas corporativos a fin de robar la información de
tarjetas de crédito y vender esa información al mejor postor.

Seleccione una opciónSombrero Negro

Durante mi investigación de ataques a la seguridad, encontré una vulnerabilidad en la seguridad en

una red corporativa a la que puedo acceder.

Seleccione una opción Sombrero blanco

Mientras buscaba las vulnerabilidades en la seguridad, obtuve acceso no autorizado a la red de

una empresa y dejé el mensaje "su seguridad tiene fallas".

Seleccione una opciónSombrero gris

Estoy trabajando con empresas de tecnología para resolver un defecto con DNS.

Seleccione una opción Sombrero blanco

Es correcto!

Ha identificado correctamente el tipo de hackers de acuerdo con la característica determinada.

2.3 Resumen de seguridad de las redes

2.3.1 ¿Qué aprendí en este Módulo?

Estado actual de los casos

La seguridad de la red se relaciona directamente con la continuidad del negocio de una

organización. Las transgresiones de seguridad en la red pueden interrumpir el comercio
electrónico, causar la pérdida de datos comerciales, amenazar la privacidad de las personas y
comprometer la integridad de la información. Estas transgresiones pueden dar como resultado la
pérdida de ingresos para las corporaciones, el robo de propiedad intelectual, demandas judiciales
e incluso pueden amenazar la seguridad pública. Muchas herramientas están disponibles para
ayudar a los administradores de red a adaptar, desarrollar e implementar técnicas de mitigación de
amenazas, incluido Cisco Talos Intelligence Group. Un vector de ataque es una ruta por la cual un
actor de amenaza puede obtener acceso a un servidor, host o red. Los vectores de ataque se
originan dentro o fuera de la red corporativa. Es probable que los datos sean el activo más valioso
de una organización. Se deben implementar varios controles de prevención de pérdida de datos
(DLP) que combinen medidas estratégicas, operativas y tácticas. Los vectores comunes de pérdida
de datos incluyen correo electrónico y redes sociales, dispositivos de datos sin cifrar, dispositivos
de almacenamiento en la nube, medios extraíbles, copias impresas y control de acceso incorrecto

¿Quién ataca nuestra red?

Para comprender la seguridad de la red es necesario comprender los siguientes términos:

amenaza, vulnerabilidad, superficie de ataque, exploit y riesgo. La gestión de riesgos es el proceso
que equilibra los costos operacionales de proporcionar medidas de protección con los beneficios
que brinda la protección de los activos. Cuatro formas comunes de gestionar el riesgo son la
aceptación de riesgos, evitar los riesgos, la reducción de riesgos y la transferencia de riesgos. El
término hacker es utilizado para describir a un atacante. Los hackers de sombrero blanco son
hackers éticos que utilizan sus habilidades de programación con fines buenos, morales y legales.
Los hackers de sombrero gris son personas que cometen delitos y realizan acciones probablemente
inmorales, pero no para beneficio personal ni para causar daños. Los hackers de sombrero negro
son delincuentes inmorales que violan la seguridad de una computadora y una red para beneficio
personal o por motivos maliciosos, como ataques a la red. Algunos términos para describirlos son
script kiddies, vulnerability brokers, hacktivistas, ciberdelincuentes y hackers patrocinados por el
Estado. Muchos ataques de red pueden prevenirse si se comparte información sobre los
indicadores de los ataques. En la actualidad, muchos gobiernos están promoviendo activamente la
ciberseguridad. La CISA y la NCSA son algunos ejemplos de esas organizaciones.

2.3.2 Prueba de seguridad de las redes

Pregunta 1

Al considerar la seguridad de la red, ¿cuál es el recurso más valioso de una organización?

Personal

clientes

Recursos financieros

done

Datos

signal_cellular_4_bar

Pregunta 2

¿Qué recurso se ve afectado debido a configuraciones de seguridad débiles para un dispositivo

propiedad de la empresa, pero alojado en otra ubicación?

Redes sociales

Medios Extraíbles
Respaldo físico

done

Dispositivos de almacenamiento en la nube

signal_cellular_4_bar

Pergunta 3

¿Qué grupo de Cisco es responsable de investigar y mitigar las posibles vulnerabilidades en los
productos de Cisco?

Grupo de Inteligencia Cisco Talos

done

Equipo de Respuesta a Incidentes de Seguridad de Productos Cisco

signal_cellular_4_bar

Alianza Nacional de Ciberseguridad

Agencia de Seguridad e Infraestructura de Ciberseguridad

Pergunta 4

¿Qué es un vector de ataque?

Es una herramienta que utiliza un actor de amenazas para atacar a una organización.

done

Es una ruta por la cual un actor de amenaza puede obtener acceso a un servidor, host o red.

signal_cellular_4_bar

Se refiere a ataques llevados a cabo específicamente por usuarios internos.

Se refiere a un grupo de amenazas que lanzan ataques DDoS.

Pergunta 5

Haga coincidir los vectores comunes de pérdida de datos con la descripción.

Categorías:

Control de acceso incorrecto

Correo electrónico / Redes sociales

Dispositivos sin cifrar

C

Medios extraíbles

Opciones:

done

El correo electrónico o los mensajes de mensajería instantánea interceptados podrían capturarse

y descifrar el contenido.

done

Un empleado podría realizar una transferencia de datos no autorizada a un dispositivo USB.

Además, se podría perder una unidad USB que contenga datos corporativos valiosos.

done

Las contraseñas robadas o las contraseñas débiles que se han visto comprometidas pueden
proporcionar a un atacante un fácil acceso a los datos corporativos.

done

Si los datos no se almacenan mediante un algoritmo de cifrado, el ladrón puede recuperar datos
confidenciales valiosos del portátil corporativo robado.

Pergunta 6

¿Qué término en seguridad de redes se usa para describir un peligro potencial para un activo,
como los datos o la red en sí?

done

Amenaza

signal_cellular_4_bar

Vulnerabilidad

Ataque

Riesgo

Pergunta 7

¿Cuál de estas afirmaciones describe el término de seguridad de red superficie de ataque?

Es la probabilidad de que una amenaza específica explote una vulnerabilidad específica de un
activo y provoque una consecuencia no deseada.

Es una debilidad en un sistema o en su diseño que podría ser aprovechada por una amenaza.

Es el mecanismo que es utilizado para aprovechar una vulnerabilidad y así poner en riesgo un
activo.

done

Es la suma total de las vulnerabilidades presentes en un sistema a las que puede acceder un
atacante.

signal_cellular_4_bar

Pergunta 8

El departamento de TI realiza una evaluación exhaustiva del estado de seguridad para el

funcionamiento del centro de datos de la empresa. Se identifica el riesgo de posible pérdida o
compromiso de datos críticos. En conversación con el equipo de administración, se toma la
decisión de replicar los datos críticos en un proveedor de servicios en la nube y asegurarlos con
una compañía de seguros. ¿Qué estrategia de gestión de riesgos se emplea?

Reducción de riesgos

Evasión de riesgos

done

Transferencia de riesgos

signal_cellular_4_bar

Aceptación de riesgos

Pergunta 9

Haga coincidir el tipo de hacker con la descripción.

Categorías:

Hackers de sombrero blanco

Hackers de sombrero negro

Hackers de sombrero gris

Opciones:
done

Son hackers éticos que utilizan sus habilidades de programación para fines buenos, éticos y
legales. Pueden realizar pruebas de penetración de redes para poner en riesgo los sistemas y las
redes usando sus conocimientos sobre sistemas de seguridad informática con el fin de detectar
las vulnerabilidades de la red.

done

Son delincuentes poco éticos que violan la seguridad de computadoras y de redes para beneficio
personal o por motivos maliciosos, como ataques a redes.

done

Son personas que cometen delitos y hacen cosas probablemente poco éticas, pero no para
beneficio personal o ni para causar daños. Un ejemplo sería alguien que pone en riesgo una red
sin permiso y luego divulga la vulnerabilidad públicamente.

Pergunta 10

¿Qué término se refiere al tipo de actores de amenazas que trabajan por cuenta propia o para
grandes organizaciones de delitos cibernéticos?

Patrocinados por el estado

done

Ciberdelincuentes

signal_cellular_4_bar

Agentes de vulnerabilidad

Hacktivistas

Pergunta 11

¿Qué afirmación describe las características de los indicadores de ataque (IOA)?

Ayudan al personal de ciberseguridad a identificar lo que ha ocurrido en un ataque y a

desarrollar defensas contra el ataque.

done

Se centran en la motivación detrás de un ataque y en los medios potenciales por los que los
actores de amenazas comprometen o comprometen las vulnerabilidades para acceder a los
activos.
signal_cellular_4_bar

Se comparten a través del sistema AIS (Uso compartido de indicadores automatizado) y ayudan a
limitar el tamaño de la superficie de ataque.

Se centran en identificar archivos de malware, direcciones IP de servidores que se utilizan en

ataques, nombres de archivos y cambios de características realizados en el software del sistema
final, entre otros.

Pergunta 12

¿Cuáles son dos razones por las que las amenazas internas desde dentro de una organización
pueden causar mayor daño que las amenazas externas? (Elija dos opciones).

done

Los usuarios internos tienen acceso directo al edificio y sus dispositivos de infraestructura.

signal_cellular_4_bar

Los usuarios de Internet pueden ocultar fácilmente sus rastros de ataque.

Los usuarios internos tienen un mejor acceso a las herramientas de ataque.

done

Los usuarios internos pueden tener conocimiento de la red corporativa, sus recursos y sus datos
confidenciales.

signal_cellular_4_bar

La piratería patrocinada por el Estado generalmente la realizan usuarios internos.