Módulo 1.

Ataques informáticos

Introducción

UN IDAD 1. IN TR ODUCCIÓN Y CON CEPTOS GEN ER ALES DE LOS ATAQUES IN FOR MÁTICOS

Tema 1: Fundamentos y conceptos de la seguridad informática

Tema 2: Tipos de ataques informáticos

Tema 3: Evaluación de seguridad en dispositivos

Tema 4: Fases de ataques informáticos

UN IDAD 2. AN ATOMÍA DE UN ATAQUE IN FOR MÁTICO

Tema 1: Etapa de relevamiento

Tema 2: Etapa de acceso

Tema 3: Ataques sin tecnología

Tema 4: Ataques a la infraestructura

Cierre

Lectura complementaria

Glosario

Referencias
Lección 1 de 13

Introducción

Con el correr del tiempo, los seres humanos dependemos cada vez más de
la tecnología, ya sea porque somos una organización que necesita
desarrollar sus actividades habituales o bien porque realizamos tareas
personales, lo que lleva a una dependencia total de esta. Si nos vamos 20
años atrás, una pérdida de conectividad a internet o un mal funcionamiento
eran algo molesto, pero no crítico. Actualmente, la pérdida de conexión
significa que una organización queda prácticamente inoperante.

A medida que las personas van volcando su vida a la tecnología, se

almacena más información, de todo tipo, en los sistemas informáticos
utilizados. A medida que las organizaciones confían más en la tecnología
para desarrollar sus actividades, crecen las comunicaciones y las diferentes
transferencias de información utilizando medios digitales. Un claro ejemplo
es que actualmente las organizaciones realizan el pago a sus empleados de
forma electrónica utilizando plataformas de transferencias bancarias (claro
ejemplo de hiperconectividad).

Debido a todo esto, los daños por robo o pérdida de información cada vez
son más frecuentes y muchos criminales digitales optan por utilizar la
tecnología como herramienta para cometer ciberdelitos y hacerse con la
información de interés. Dentro de estas herramientas, no solo nos referimos
a malware (programa malicioso) y virus (los más comunes), sino que
también existen programas especializados para el robo de información
sobre los que los profesionales de la seguridad deben estar atentos,
además de conocerlos.

Es por todo esto que se ha vuelto muy popular y necesario establecer

prácticas y herramientas orientadas a proteger la infraestructura informática
y la información que ésta contiene tanto de personas como de
organizaciones. Todo esto se conoce como seguridad informática.

C O NT I NU A R
Lección 2 de 13

Tema 1: Fundamentos y conceptos de la

seguridad informática

Seguridad informática
Ser un profesional de la seguridad informática es una tarea muy particular,
ya que lleva a tener relación con todos los sectores y áreas de una
organización. Es imperativo que tengamos un conocimiento amplio de la
organización, de los procesos, los objetivos y todo aspecto relevante. Esto
es así porque solo teniendo una visión global de la organización vamos a
poder proteger la información y los sistemas de esta.

Para poder comenzar a tratar temas relacionados con la seguridad

informática, es importante conocer exactamente a qué nos referimos cuando
hablamos de este concepto. Si nos remitimos a la bibliografía existente y a
la información que circula por internet para su consulta, vamos a ver que
existe una infinidad de definiciones y conceptos de seguridad informática.

Nos vamos a centrar en un concepto elegante y acertado para lo que vamos

a estudiar: la seguridad informática es un conjunto de medidas de
prevención, detección y corrección que se orientan a proteger la
confidencialidad, la integridad y la disponibilidad de los recursos
informáticos de una organización y de los activos de información que esta
organización posee.

La seguridad informática se conoce como hacking ético (hackeo ético), ya

que, para poder brindar seguridad a los sistemas y a la información
contenida en ellos, es necesario contar con técnicas de hacking (hackeo)
que sirven para detectar qué tan inseguros son los sistemas con los que
estamos trabajando y, de esa forma, mitigar los posibles riesgos a los que
está expuesta una organización.

“Cuando hablamos de hacking ético, nos referimos a la acción de efectuar

pruebas de intrusión controladas sobre sistemas informáticos; es decir que
el consultor” (Astudillo, 2013, p. 10) de seguridad informática o pentester
actuará dentro de una organización desde el punto de vista de un atacante
para poder detectar vulnerabilidades en equipos, redes, puertos, protocolos,
programas, etcétera, siempre trabajando en un ambiente controlado y
supervisado en el que no se ponga en riesgo en ningún momento la
operatividad de los servicios informáticos del cliente (Astudillo, 2013).

Es importante que el especialista en seguridad informática o hacker ético

siga siempre las metodologías correctas, además del sentido común
(Astudillo, 2013).

Con el correr del tiempo, los temas relacionados con la seguridad

informática se comenzaron a extender por el solo hecho de que la
informática fue cambiando a medida que se dio el crecimiento tecnológico.
Es por esto que se formó el nuevo concepto de seguridad de la información,
que se encuentra estrechamente ligado a la seguridad informática.

Seguridad de la información
La información es el activo más preciado que posee una organización y es
por esto que, si bien se debe aplicar seguridad informática sobre los equipos
que la procesan o contienen, no hay que perder de vista que el corazón de
toda organización, y lo que se debe proteger, es la información propiamente
dicha.

Cuando se habla de información, debemos comprender que va mucho más

allá de aquella que se procesa con equipos informáticos y sistemas, es decir
que la información también abarca lo que se escribe en un papel, lo que se
dice de manera oral, etcétera. ¿Y esto por qué? Porque los atacantes se
valen de cualquier tipo de información, por más que no esté dentro de un
sistema informático, para perpetuar un ataque.

Las normas ISO/IEC 27001 (International Organization for

Standarization/International Electronic Comision, 2005) hacen referencia a
que la seguridad de la información es la disciplina que tiene como objetivo la
confidencialidad, integridad y disponibilidad de la información, y que a
su vez puede integrar otras propiedades, como la autenticidad, la
responsabilidad, el no repudio y la trazabilidad.
Teniendo en cuenta estas definiciones, podemos ver que existen temas que
no se encuentran relacionados directamente con la informática, pero sí con
la seguridad de la información. Estos temas tienen que ver, por ejemplo, con
la valuación de activos, el análisis de riesgos, la gestión de riesgos, la
gestión ante incidentes, la continuidad de un negocio, etcétera, todo lo cual
sirve como información también ante un ataque.

Para que tengamos claro por qué la información es parte de la seguridad

informática, en primer lugar, podemos decir que es por ser el “corazón”:
siempre se deben proteger los datos, los activos de información que posee
una organización. Para esto existen metodologías implementadas en todo el
mundo, la más eficaz y conocida de las cuales es la defensa en
profundidad, que apunta a implementar varias medidas de seguridad en
todo el perímetro con el objetivo de proteger un mismo activo (la
información). Esta metodología utiliza varias capas y cada una de ellas
provee un nivel de protección adicional. En la Figura 1, podemos ver las
capas escalonadas en las que se debe aplicar protección.

Figura 1: Capas de protección escalonada

 Fuente: Jara y Pacheco, 2012, p. 16.

Existe un documento creado por la SGDN (Dirección Central de la

Seguridad de los Sistemas de Información: “Un extracto de dicho texto
denuncia: ‘La defensa en profundidad del sistema de información es una
defensa global y dinámica, que coordina varias líneas de defensa que
cubren toda la profundidad del sistema” (Jara y Pacheco, 2012, pp. 16-17).

Por esta razón, tenemos que tener en cuenta y mantener en todo momento
la defensa en profundidad para cubrir toda la profundidad del sistema y
mantener una gestión de seguridad de la información coordinada,
comenzando por la implementación de los sistemas físicos y finalizando con
la tecnología utilizada y la información contenida.

Otra definición de este concepto, asociado a la organización, lo

podemos encontrar en el documento del NIST SP 800-53:
Recommended Security Controls for Federal Information
Systems and Organizations, el cual define la defensa en
profundidad como una estrategia de la seguridad de la
información que contempla las actividades operativas [realizadas
con los sistemas], la tecnología y las personas, de cara a
establecer un conjunto de barreras o controles implementados en
múltiples capas de la organización. (Jara y Pacheco, 2012, p. 17).

Se debe tratar, en todo momento, de mantener la coordinación de las

acciones, de forma que se contengan los atentados contra la seguridad de
una organización, gestionando de forma correcta los riesgos, manteniendo
un sistema de informes, planificando posibles reacciones y estando en
constante mejora de acuerdo con la experiencia adquirida. Por esto:

Los controles no deben ser únicamente técnicos a nivel

informáticos, sino que también deben considerarse controles de la
seguridad administrativos y físicos. Los administrativos son
aquellos basados en las definiciones del marco normativo de una
organización. Los físicos, en cambio, son los que contemplan
 aquellas protecciones físicas que impedirían o demorarían el
accionar de un potencial atacante. Por ejemplo, [cerraduras con
lector de huella, iris del ojo, etc.]. (Jara y Pacheco, 2012, p. 17).

Un claro modelo de defensa en profundidad sería:

1 Políticas, procedimientos y concientización dentro de una

organización.

2 Seguridad física (control de acceso).

3 Seguridad del perímetro (control de acceso combinado).

4 Seguridad de la red.

5 Seguridad del equipo terminal.

6 Seguridad de las aplicaciones de uso común.

7 Seguridad de los datos.

Por todo esto podemos decir que la defensa en profundidad es una técnica
que se emplea en informática para implementar la seguridad informática de
forma efectiva. No debemos perder de vista que ninguna medida de
seguridad informática puede ser perfecta, por lo que es mucho más efectivo
contar con varias medidas y que cada una cumpla su papel.

Todas las medidas de seguridad informática que se tomen dentro de una

organización deben ser implementadas basándose en el paradigma de
proteger, detectar y controlar. Esto significa que, además de estar
preparados para recibir ataques a la información y a los sistemas, debemos
implementar métodos de detección y procedimientos que nos permitan
reaccionar y recuperarlos de ataques.

El foco de las medidas debe estar puesto en tres elementos:

Personas
–
Deben estar informadas acerca de las posibles amenazas y capacitadas de
acuerdo con el rol que desempeñan en la empresa. Se las debe hacer
cumplir políticas de seguridad internas. Por ejemplo, es importante que
sepan que se incurre en un riesgo al conectar USB (universal serial bus-
bus universal en serie) de dudosa procedencia en un equipo informático.
Además, las personas deberán tener medidas de protección físicas y
control de personal, como acceso mediante huella digital o lectura de iris
del ojo.

Tecnología
–
Se deben estipular políticas que aseguren que las tecnologías
implementadas son las correctas para la organización. Por eso es
necesario implementar varios mecanismos de seguridad.

Operaciones
–
Están enfocadas en las actividades que son necesarias para sostener la
seguridad de la organización en las tareas cotidianas. Estas medidas son:
mantener una clara política de seguridad dentro de la organización,
documentar todos los cambios que se realicen sobre la infraestructura,
realizar análisis de seguridad de forma periódica e implementar métodos de
rápido recupero.

Personalidades de la seguridad informática

Cuando se habla de seguridad informática, es muy común escuchar
términos o palabras que se han hecho populares, con una cuota de
marketing que hace que las personas las reconozcan. Es por esto que se
presentan a continuación términos asociados a esta práctica que son
indispensables conocer para luego reconocer los ataques que se puedan
sufrir.

Hacker: En informática este término se utiliza para referirse a una

persona experta o con gran conocimiento técnico e informático
capaz de vulnerar sistemas, pero en el mundo de la seguridad
informática es considerado un título de honor relacionado con sus
conocimientos y habilidades técnicas.

Crackers: Este término, aplicado a la informática, hace referencia

a una persona que viola o rompe la seguridad de un sistema. Si
bien es similar al concepto de hacker, el cracker (intruso) tiene
otros fines. Generalmente, se llama cracker a aquella persona
que, de forma ilegal, utiliza ingeniería inversa para desproteger un
software (conjunto de programas) o sistema. Un ejemplo muy
común de este tipo de personas es el de aquellos que rompen las
claves o keys de una licencia de software para utilizarlas de modo
ilegal, es decir, sin adquirirlas.

Newbie: Este término es conocido en el ambiente informático para

definir a los principiantes.

Lammers: Las personas llamadas bajo este término informático

son aquellas que presumen tener conocimientos de ataques
informáticos, pero en realidad no poseen conocimiento alguno.

Phreaker: Estos son un tipo de hacker, pero orientados más a los

sistemas telefónicos que informáticos. Cuando se habla de
sistemas telefónicos, no se hace referencia a smartphones, sino a
telefonía propiamente dicha.

Script kiddie: Es un personaje que se dice hacker, pero utiliza

programas de terceros para realizar ataques sin conocer su
 funcionamiento, razón por la cual suelen ser víctimas de ataques
ellos mismos.

Pilares de la seguridad informática

Para desempeñarse como profesional de la seguridad informática, es
importante conocer cuáles son los principales pilares y conceptos que
forman la base de la seguridad de la información. Confidencialidad,
integridad y disponibilidad (CIA en inglés) son las bases principales, pero
a estas, como se vio más arriba, se suman otros pilares básicos:
identificación, autenticación, autorización y trazabilidad (conocidos por
AAA en inglés).

Otros pilares también son los conceptos que debemos conocer en

profundidad para desempeñarnos como profesionales de la seguridad
informática: activos de información, vulnerabilidades, amenazas, riesgos, no
repudio, controles y contramedidas.

Cuando se implementa algún control o se presenta una amenaza a los

sistemas, se afecta, ya sea de forma positiva o negativa, como mínimo, a
uno de los 3 pilares de la seguridad de la información.

Una vez que tenemos claros los pilares de la seguridad informática, es

indispensable que estemos al día con las nuevas tecnologías y que
busquemos fuentes de información que sean confiables y con las cuales
estemos cómodos y nos entendamos.
Otro pilar sumamente importante es el constante estudio de nuevas
metodologías, las cuales día a día cambian o mejoran.

Fundamentos de la seguridad informática o hacking ético

Muchas veces las organizaciones toman el camino corto y comienzan a instalar aplicaciones de
seguridad y a poner pegamento en los puertos USB para bloquearlos, como si con eso solucionaran
problemas de seguridad. El problema no está en poner pegamento en los USB, sino en los sinsentidos
de trabajar sin saber a dónde se quiere llegar. Por eso se debe comenzar paso a paso, tomando contacto
con un profesional de seguridad informática para que asesore sobre ello.

Como dijimos al inicio, a los profesionales de la seguridad de la información se los conoce comúnmente
con el término de hacker ético, ya que utilizan sus conocimientos sobre hacking con fines defensivos.
Es por esto que la función que tiene el hacker ético o profesional de la seguridad informática es
determinar lo que un intruso puede hacer o haría sobre un sistema informático para acceder a él y, de
esa forma, poder velar por la protección de la información. Para esto debe poseer profundos
conocimientos sobre sistemas operativos, hardware, redes y programación, pero también deberá tener
conocimientos de criptografía, sistemas de control de acceso, aplicaciones y seguridad física y
administrativa para colaborar con la organización.

Sirve aclarar que un experto en seguridad informática no es aquel que vaya a trabajar para una
organización con el fin de robar datos o planes de la competencia, ni quien se encargue de investigar
cuentas de correo electrónico con fines de robo, sino todo lo contrario: es el que, con herramientas y
técnicas de hacking, vela en todo momento por la seguridad de la organización que lo contrata. Por eso
los profesionales de la seguridad informática o hackers éticos trabajan con un código de ética específico
y se dividen en 3 grandes grupos: sombrero blanco (white hat), sombrero negro (black hat) y sombrero
gris (grey hat).

Más adelante veremos los códigos de ética y las buenas prácticas que debe tener todo profesional de la
seguridad informática.
¿Qué implica la técnica de defensa en profundidad?

Proteger la información sin importar cómo.

Implementar varias medidas de seguridad para

proteger un activo.

Hacer foco en la protección del equipamiento

informático.

SUBMIT

C O NT I NU A R
Lección 3 de 13

Tema 2: Tipos de ataques informáticos

No todos los ataques son iguales: hay una infinidad de ataques informáticos
en la práctica y todos los días surgen otros nuevos por el avance de la
tecnología. En este punto, nos vamos a centrar, desde el punto de vista
técnico, en los ataques al sistema operativo, a las aplicaciones, a las
configuraciones y a los protocolos.

Ataques al sistema operativo

El ataque al sistema operativo es el más clásico que se puede sufrir, en

razón de que la búsqueda de fallas se centra en el propio sistema operativo,
que es la base de todo el resto del software que se encuentra instalado
sobre él y, a su vez, es el almacenaje de la información. Por eso, muchas
veces los hackers toman control del sistema operativo antes de concretar el
ataque puntual.

Tenemos tres líneas principales de ataque de este tipo, en razón de que

globalmente existentes sistemas operativos principales:
1 En primera línea está Windows, el más atacado. Ya desde sus
inicios, fue centro de ataque debido a su masificación y a lo simple
que era acceder a su núcleo, incluso sin contar con su código
fuente.

2 Los sistemas operativos Linux o derivados de UNIX, que, por tener

código abierto, son un punto de ataque peor que Windows
(cuando sufre intrusión), ya que los ataques son posibles también
a nivel de código.

3 Los sistemas operativos MacOS, que sufren ataques en menor

medida, por ser menos populares. De todos modos, últimamente
son blanco de los atacantes por haberse extendido a una variedad
considerable de dispositivos (teléfonos, tabletas, computadoras),
lo que hace que año a año se descubra un mayor número de
vulnerabilidades y los atacantes las exploten.

Un error en el sistema base… hace que todo el resto tiemble. Si

imaginamos por un momento un error en una librería base de
cualquier sistema (cualquiera sea el sistema operativo) que es
utilizada por incontables aplicaciones, este fallo radical afecta
directamente a todo programa que haga uso de dicha librería.
He aquí la gravedad de la situación. (Benchimol, 2011, pp. 50-
51).
Cuando se habla de ataques al sistema operativo, debemos tener en cuenta
que incluyen las implementaciones que este realiza de las diferentes
tecnologías, lo cual engloba librerías o bibliotecas.

Por ejemplo, podría ser que un sistema tuviera un fallo en la

implementación de cierta tecnología de cifrado, lo cual haría
que el cifrado fuera débil, sin que se trate de un problema en el
propio algoritmo de cifrado ni en la aplicación que lo utilizara.
Estos ataques, que pueden ser locales o remotos, son una
pieza clave en la búsqueda de errores para el intento de acceso
a un sistema o red. (Jara y Pacheco, 2012, p. 48).

A esto le debemos sumar que las organizaciones, en los últimos tiempos,

crecieron en la utilización de sistemas virtualizados. Por esa razón, si este
se vulnera, se pone en riesgo cada uno de los sistemas utilizados, no solo
los que funcionan sobre la máquina virtual vulnerada de forma directa, sino
que también se verá comprometido el sistema operativo base. La aplicación
de virtualización es la capa que se encuentra entre el hardware y el sistema
operativo propiamente dicho (Figura 2).

Figura 2: Capa de virtualización

 Fuente: Jara y Pacheco, 2012, p. 48.

Como se ve en la imagen, se agrega la aplicación sobre la cual se virtualiza

algo, pero dicha virtualización se realiza sobre el sistema operativo base.
Entonces, si se ataca esta aplicación, también se compromete el sistema
operativo que la ejecuta. Este tipo de ataque se suele dar de forma remota o
local, y es otra pieza clave a la hora de comenzar a buscar vulnerabilidades
de acceso a un sistema o red.

Ataques a las aplicaciones

En el caso de las aplicaciones, la variedad de ataques es mucho mayor, ya
que existen miles y miles de aplicaciones de software y programas de todo
tipo disponibles para su utilización. Cuando hablamos de ataques a las
aplicaciones, se debe tener en cuenta —como sucede con los sistemas
operativos— cuán masivas son estas. Los atacantes siempre buscan
aplicaciones de uso masivo, ya que hay documentación de ataques a estas
y los fallos que poseen ya se conocen en el ambiente de los atacantes.
Además, al tener un uso masivo, tienen más llegada a las personas y
empresas, con lo cual tienen mayor potencial el ataque. Por eso se dice que
un programa utilizado por miles de millones de personas va a ser mejor
objetivo que uno empleado por pocos usuarios.

El objetivo de atacar una aplicación es ampliar la superficie de ataque de un

sistema, por lo que siempre es indispensable evitar instalar software que no
se requiera. Este es uno de los principales puntos de la seguridad
informática.

Existen casos donde se falsifican programas que, a simple vista, poseen las
mismas funciones, pero dentro tienen fallos en la operatoria que sirven para
comprometer el software base y llevar adelante un ataque informático a gran
escala.

Es importante siempre tener en cuenta con qué privilegios se ejecutan las

diferentes aplicaciones. De esto dependerá cuán grave pueda ser el ataque
directo al sistema. Existe la posibilidad de realizar un ataque a una
aplicación y luego escalar privilegios hasta llegar y comprometer el sistema
operativo base. Si los privilegios ya son elevados desde un primer momento,
van a ser utilizados para realizar un ataque más grande y a otro nivel de una
forma más sencilla.

Es importante destacar que, por medio del ataque a cualquier programa o

aplicación, se genera un ataque mucho más grande, ya que los atacantes
utilizan como puerta de entrada los sistemas de las organizaciones de
software de uso popular.

Ataques a las configuraciones

Las configuraciones pueden ser del sistema operativo o de las aplicaciones,

y constituyen otro punto sensible, ya que, por más seguro que sea un
software, una mala configuración puede transformarlo en totalmente
inseguro y fácil de manejar por un atacante. Vamos a ver un ejemplo
pequeño, pero muy común.

Pensemos en un software antivirus: si se configura de forma deficiente, su

función sería cumplida en forma escasa o poco efectiva, lo que daría como
resultado que una buena herramienta de software sea una mala solución y,
por ende, una brecha de seguridad y puerta de entrada para un atacante.
Por eso podemos decir que ni siquiera las herramientas de seguridad o los
softwares de protección son 100 % fiables solo por su función. Para
minimizar al máximo los problemas de seguridad, el profesional de
seguridad informática debe realizar configuraciones extra y adecuadas, para
evitar que se produzcan ataques graves.

Un atacante siempre, como primera medida, trata de aprovecharse de las

configuraciones estándar de las aplicaciones, los equipos informáticos, los
dispositivos de red, etcétera. Vamos a suponer que un sitio de
administración web se instala con las credenciales por defecto, es decir que
se realiza la instalación y se dejan las contraseñas que vienen de fábrica,
sin modificación alguna. Entonces ingresa un atacante, que conoce cuáles
son las credenciales por defecto, e ingresa sin ningún tipo de esfuerzo a
nuestros sistemas. Este es un error de configuración que provoca un ataque
a un sistema. A su vez, se debe tener en cuenta que en internet existe una
gran cantidad de sitios que recopilan información de contraseñas por
defecto de programas, aplicaciones y dispositivos, y que estos sitios son
muy utilizados por atacantes para acortar caminos.

¿Cuáles son las posibles soluciones a todo esto?

Una de las soluciones más usadas y efectivas para reducir los ataques que
explotan estas vulnerabilidades es el proceso de hardening
(endurecimiento), que consiste en utilizar configuraciones y características
propias de los dispositivos, plataformas, programas, etcétera, para aumentar
los niveles de seguridad (Giannone, Rodríguez y Amatriain, 2018). Es poder
asegurar un sistema, reduciendo las vulnerabilidades a las que es más
propenso.
Se deben llevar adelante configuraciones de tipo cierre de puertos que no
son de utilidad o que no son imprescindibles, deshabilitar protocolos y
funciones que se encuentren fuera de uso, cambiar los parámetros y
contraseñas por defecto, eliminar usuarios que no sean necesarios o que ya
no sean parte de la organización. Todas estas son técnicas de hardening
básicas que permiten bajar al máximo posible los ataques de tipo
configuración que puede sufrir un equipo o sistema informático.

Otra solución dentro de las organizaciones, que se da como resultado del

uso de hardening y del análisis exhaustivo de los propios sistemas, es lo
que se conoce en el área informática como baseline (base). Se trata de
configuraciones mínimas e indispensables que se realizan sobre los
sistemas de las organizaciones, sin perder de vista los requerimientos, pero
otorgando un mejor nivel de seguridad informática.

Los baseline están constituidos por la documentación de las configuraciones

donde se describe específicamente qué configuraciones son necesarias
para que los equipos y los programas implementen las recomendaciones
propuestas por las buenas prácticas de seguridad, sin perder de vista el
objetivo de la organización.

Una buena práctica principal para estos baselines es generar un baseline

para cada sistema o software de uso. Por ejemplo, se deberá tener un
baseline para los sistemas operativos, otro para los rúters, otro para las
bases de datos, otro para correos electrónicos, para cada uno de los
softwares de uso de una organización, etcétera.
Implementar baselines nos permite brindar garantías de que todos los
sistemas pertenecientes a una organización se encuentran estandarizados
en sus configuraciones y que poseen el mejor nivel de seguridad
informática, teniendo en cuenta los requerimientos del negocio u
organización, dejando funcional en todo momento al cliente.

Ataques a protocolos

El ataque a protocolos es otro problema, dentro de la seguridad informática

de una organización, menos frecuente, pero más grave si contamos con
errores en los protocolos. Esto implica que sin importar la implementación
que se haya realizado, el sistema operativo que se esté utilizando en la
organización, ni la configuración, algo que se componga del protocolo
erróneo se puede ver afectado. Veamos un ejemplo clásico. El conocido
protocolo TCP/IP (transmission control protocol (protocolo de control de
transmisión) /internet protocol (protocolo de internet) es un paquete de
protocolos efectivos y flexibles que perduran en el tiempo y continúan
utilizándose. Cuando nació este protocolo, no era muy utilizado y tampoco
contenía medidas de seguridad, pero con el tiempo no solo continuó su
utilización, sino que se comenzó a usar para fines que no habían sido
pensados, hasta transformarse en un arma de ataque.

Si bien este protocolo se fue ajustando con el tiempo para mitigar los
posibles ataques, es un protocolo de uso tan masivo que vuelve imposible
su reemplazo, por lo que es susceptible de ser atacado. Si bien no
constituye un verdadero error, hay que tenerlo en cuenta. El diseño del
protocolo TCP/IP es altamente efectivo, al punto de que el modelo de
referencia OSI (interconexión de sistemas abiertos) se basa en él.

Figura 3: Comparación modelo OSI y TCP/IP

 Fuente: Interpolados, 2017, https://interpolados.wordpress.com/2017/03/01/comparacion-
entre-el-modelo-osi-y-el-modelo-tcpip/

Cabe destacar que en las redes de telecomunicaciones hay una infinidad de

protocolos dentro de un sistema, razón por la cual es muy común que los
atacantes encuentren fallos y los utilicen como puerta de ingreso. “El
problema más grave es que un error en el diseño de uno implica que las
situaciones sean potencialmente incorregibles” (Giannone et al., 2018, p.
63) y lleven a realizar modificaciones en distintos niveles para lograr
resolverlo.

Es por esto que, como profesionales de la seguridad, debemos cerciorarnos

de ajustar al máximo posible los errores de los sistemas o bien deshabilitar
aquellos que se encuentren fuera de uso.

Una mala configuración en un programa no genera ningún riesgo.

Verdadero.

Falso

SUBMIT
C O NT I NU A R
Lección 4 de 13

Tema 3: Evaluación de seguridad en dispositivos

Vamos a ver cómo analizar las distintas opciones al momento de evaluar la

seguridad informática. En las organizaciones en general, con el avance de
la tecnología, cada vez es más común que se realicen de forma interna
evaluaciones de seguridad. No solo están relacionadas con la seguridad
informática —aunque algunas van de la mano—, sino que también se
realizan evaluaciones ajustadas al cumplimiento de regulaciones. Por
ejemplo, si en una organización se utilizan tarjetas de crédito, se deberán
aplicar políticas y protocolos de seguridad asociadas a las tarjetas de crédito
con las que se opera, o se deberán ajustar al uso de normativas de
comunicaciones de determinado banco, o habrá que cumplir con una ley de
datos personales, etcétera. Las organizaciones están tomando conciencia
sobre los riesgos a los que están expuestos sus activos y sobre cómo una
intrusión en sus sistemas puede afectar el funcionamiento general del
negocio.

Una evaluación de seguridad va a mostrar una imagen, una fotografía de la

postura que posee una organización en un momento determinado; es decir
que simplemente representa un valor agregado al ser realizada de forma
sistemática y continua en el tiempo, y cuando las recomendaciones de los
expertos son implementadas en el corto plazo.
Para que una evaluación de seguridad sea efectiva, no solo se deben
implementar las recomendaciones, sino que estas deben estar integradas al
sistema de gestión de seguridad de la información que deben poseer las
organizaciones, es decir que, dentro de sus procesos de gestión de riesgos,
se debe incluir la seguridad informática.

Existen diferentes formas de realizar una evaluación de seguridad y todas

van a depender del objetivo que tenga la organización, de lo que se quiere
medir. Las evaluaciones de seguridad más comunes son:

Evaluación de vulnerabilidades.

Test de penetración y hacking ético.

Análisis de brecha de cumplimiento.

Evaluación de vulnerabilidades

La evaluación de vulnerabilidades hace referencia a la búsqueda de

debilidades en los distintos sistemas, ya sean sistemas operativos,
softwares de gestión, programas, aplicaciones, configuraciones, etcétera.
Con esto se busca determinar las amenazas, los agentes de amenazas o
las vulnerabilidades a las que puede estar expuesto un sistema informático
en su conjunto que permitan a un atacante cumplir su objetivo. Estas
debilidades, por lo general, se refieren a todas aquellas de carácter técnico
que dependen de las cualidades intrínsecas del sistema que se está
evaluando.

En materia informática, nos referimos a las vulnerability assessment (VA)

(evaluación de vulnerabilidades) cuando hablamos de un análisis técnico
sobre las debilidades de una infraestructura informática. Puntualmente se
analizan vulnerabilidades asociadas a servidores, dispositivos, sistemas
operativos, softwares, aplicaciones, programas, etcétera, que se vinculen a
todas y cada una de las deficiencias técnicas posibles. Este tipo de
evaluación permite identificar potenciales vulnerabilidades, pero no confirma
que existan en la realidad de la organización, es decir que, cuando se
detecta una vulnerabilidad en un equipo o sistema informático, no se trata
de que se vaya a explotar, sino que se confirma su existencia y se debe
reportar para así evitar que sea explotada en un futuro.

Existen normativas que exigen efectuar una determinada cantidad de

evaluaciones de vulnerabilidades de forma anual dentro de una
organización.

En relación [con] este tipo de evaluaciones, se desarrolló el

Open Vulnerability and Assessment Langugage (OVAL), un
estándar internacional de seguridad de la información abierto,
cuyo objetivo es promocionar y publicar contenido de seguridad
 y normalizar la transferencia de este por todo el espectro de
herramientas y servicios de seguridad. Incluye un lenguaje
desarrollado en XML utilizado para codificar los detalles de los
sistemas y una colección de contenido relacionado alojado en
distintos repositorios, mantenidos por la comunidad OVAL. Su
sitio oficial es: http://oval.mitre.org. (Giannone et al., 2018, p.
64).

Según OVAL, las etapas de un proceso de evaluación de vulnerabilidades

son:

1 Recabar información que se asocie a vulnerabilidades conocidas

que puedan afectar nuestros sistemas.

2 Analizar el sistema para determinar su estado en relación con las

vulnerabilidades.

3 Reportar, por medio de informes, los resultados de la evaluación

llevada a cabo (Giannone et al., 2018).

Test de penetración y hacking ético

En informática, un test de intrusión o test de penetración (penetration test)
es una extensión del concepto de evaluación de vulnerabilidades, enfocada
en todos los procesos que involucren el manejo de la información dentro de
las organizaciones, independientemente del medio en que se encuentre
esta información. A diferencia del análisis de vulnerabilidades, un test de
penetración “no solo ayuda a identificar vulnerabilidades potenciales, sino
que también se intenta explotarlas y, así, confirmar su existencia y el
impacto real que podrían tener en la organización” (Blanco y Cattafesta, s.
f., p. 38) si las explota un atacante o un tercero.

Es importante destacar que “una vulnerabilidad reportada como crítica por el

fabricante de la aplicación vulnerable no siempre es igualmente crítica”
(Giannone et al., 2018, p. 65), según el contexto en la que se explote. Existe
la posibilidad de que sea más crítica o menos crítica según la organización
en donde se encuentre activa. Puede ocurrir que, aun existiendo y
explotando la vulnerabilidad, dentro de la organización haya otros controles
compensatorios, por lo cual el ataque para explotar dicha vulnerabilidad se
hace dificultoso o muchas veces imposible.

En una situación así, el riesgo que la vulnerabilidad tiene dentro de la

organización es bajo o hasta inexistente. Vamos a ver un ejemplo.
Supongamos que, dentro de un servidor de acceso remoto, existe una
vulnerabilidad que, de ser explotada de forma exitosa, permitiría tomar el
control total del equipo a distancia. Sin duda, esto es una vulnerabilidad
crítica (o de código rojo) para cualquier organización.
 Imaginemos, además, que este servidor está en una red
segmentada, a la cual solo se puede acceder desde otra red
integrada únicamente por equipos de confianza. Además, el
equipo que posee el servidor vulnerable tiene definido un
conjunto de reglas de filtrado que indican que únicamente
permiten el acceso desde dos ubicaciones. (Giannone et al.,
2018, p. 65).

La vulnerabilidad no va a poder ser explotada con facilidad. Este ejemplo

nos pone un escenario donde tenemos una vulnerabilidad que es crítica (el
acceso de forma remota a un servidor), ya que cualquier atacante podría
tomar control del equipo, pero, con las reglas que se colocaron y las
medidas de seguridad informática que se tomaron, dicha vulnerabilidad
pasó a ser controlada, ya que el atacante, para poder explotarla con éxito,
deberá pasar un doble nivel de filtrado.

De esta forma, vemos que resulta de suma importancia no solo verificar las
posibles vulnerabilidades existentes dentro de una organización, sino que a
su vez se debe evaluar cuál sería el impacto real para la organización, en
caso de que estas fueran explotadas con éxito.
Existen diferentes fuentes confiables que marcan las pautas y contemplan
las mejores prácticas sobre las que se basa la evaluación de
vulnerabilidades. Uno de los documentos que se pueden consultar es el
NIST 800-115, que establece una guía técnica sobre cómo llevar adelante
una evaluación dentro de una organización. Otra guía de consulta es
OSSTMM (Open Source Security Testing Methodology Manual). Es de suma
importancia, al momento de llevar adelante un test de penetración, seguir
alguna metodología de trabajo. Existen certificaciones que proponen
diferentes metodologías, y GPEN
(https://www.giac.org/certification/penetration-tester-gpen) es una de las
opciones más utilizadas.

Análisis de brecha de cumplimiento

Otro tipo de evaluación de seguridad que tomó mucha popularidad en los

últimos tiempos es el análisis de brecha de seguridad o gap analytics
(análisis GAP), que tiene como objetivo medir la distancia entre el estado
actual de una organización y las regulaciones o estándares. A modo de
ejemplo, podemos decir que una organización está interesada en conocer
cuál es la brecha que la separa del cumplimiento de las normativas ISO/IEC
27001 de la seguridad de la información, por ejemplo, en lo referente a la
protección de datos personales que se encuentren contenidos en un
sistema informático. Esta brecha se basa en el conjunto de requerimientos
con los cuales se debe cumplir para obtener una certificación ISO/IEC
27001. Es analizar qué requerimientos adicionales se deben cumplir para
obtener dicha certificación.

Es importante que esta verificación técnica sea llevada adelante por un

profesional de seguridad informática, pero en la práctica existen muchas
organizaciones que no requieren los servicios de estos últimos.

Clasificación de la evaluación de
seguridad informática

Según la forma en que se realicen las evaluaciones de seguridad

informática, existen diferentes clasificaciones. Un criterio es en función de
las herramientas que se utilizan para llevar adelante el proceso de
evaluación de vulnerabilidades. Otro criterio se refiere al lugar desde donde
se realiza la evaluación de vulnerabilidades (si es desde afuera de la
organización o desde dentro). Por último, otro criterio depende del alcance
del análisis y de hasta qué punto el cliente va a conocer las tareas que
realice el analista de seguridad. Veamos, a continuación, el análisis de estos
criterios y los detalles de cada una de las clasificaciones.

En función de las herramientas

Este criterio puede clasificarse como testeo manual y automatizado.

Una parte importante del trabajo de análisis es realizada a partir

de herramientas automatizadas. El escaneo de puertos, la
exploración y búsqueda de vulnerabilidades [de red,
exploración de protocolos, etcétera], son realizados en gran
medida a partir del uso de dichas herramientas.

Algunas de ellas vienen preparadas para que, con una mínima

configuración, se realicen todos los análisis de manera rápida y
efectiva. (Jara y Pacheco, 2012, p. 63).

A su vez, existen herramientas automatizadas capaces de encontrar alguna

vulnerabilidad y explotarla. Seguramente te preguntarás: si existen estas
herramientas, ¿para qué los profesionales de seguridad utilizan el test de
penetración? La respuesta tiene varias partes. Por un lado, un informe de
resultados de un test de penetración es fundamental en el proceso de
evaluación de vulnerabilidades de una organización, que por lo general
consta de 2 informes: uno ejecutivo, que se orienta a personas sin
conocimientos técnicos, y uno técnico, que se encuentra orientado al
personal de sistemas. Otra parte importante es que muchas veces los
profesionales solo realizan la entrega de un informe que arroja una
herramienta, lo que implica poco profesionalismo y ningún tipo de análisis
(Jara y Pacheco, 2012).

La conclusión que podemos obtener es que, por un lado, el profesional debe

realmente comprobar, muchas veces en forma manual, la existencia real de
las vulnerabilidades; y por otro, que debe volcar su experiencia en la
interpretación de los resultados obtenidos por estas herramientas,
identificando el riesgo que los hallazgos tengan en la organización. También
es muy importante la actualización y configuración de las herramientas al
momento de ejecutarlas (Jara y Pacheco, 2012).

Existe una infinidad de herramientas automatizadas, un ejemplo concreto es

Nmap (herramienta para el escaneo de puertos): si lanzamos un análisis
con ella, es importante saber no solo lo que se pretende analizar, el objetivo
de la prueba, sino que también el profesional debe saber qué tipo de
parámetros y opciones hay que configurar y de qué forma, dependiendo de
la organización y de lo que se requiera analizar o proteger. Si bien estas
herramientas hacen un gran trabajo, es fundamental la visión y el análisis de
un profesional, lo que va a aportar valor.

“Por otro lado, ciertos análisis necesariamente requieren la interacción de un

profesional, ya que se deben tomar decisiones utilizando distintos criterios,
la mayoría de ellas, basadas en la experiencia, momento a momento
mientras se llevan a cabo las pruebas” (Jara y Pacheco, 2012, p. 64).

En función del lugar desde donde se realiza el análisis

Cuando hablamos de este criterio, se debe considerar si el testeo de
vulnerabilidades se va a realizar de forma interna o externa. Si es de
manera externa, quiere decir que se realizará a distancia y de forma remota;
en cambio, si es de forma interna, un analista de seguridad se hará presente
en la organización a fin de analizar de forma exhaustiva los sistemas desde
dentro de ella. Por lo general, los test de penetración se pueden realizar de
ambas formas, aunque esto va a depender de los que se pacte con el
cliente.

En el análisis interno, se evalúan todos aquellos puntos relacionados con la

red interna y la información que circula en todos los niveles, y no solo en
formato digital. Desde dentro de la organización, se llevan adelante estos
análisis, en los que los niveles de seguridad son diferentes de los que se
encuentran definidos hacia afuera del perímetro de la empresa.

En el análisis externo, todas las pruebas se realizan de forma remota y se

buscan vulnerabilidades en la frontera; por ejemplo, las búsquedas se
enfocan en los firewalls (cortafuegos) o en aquellos servidores que brinden
servicios de internet o por medio de la red. Se intenta hallar cualquier punto
que, una vez explotado, permita obtener acceso a la DMZ (zona
desmilitarizada) o a una red interna. Si una organización toma la decisión de
realizar los dos análisis (interno y externo), la efectividad en la toma de
medidas de acceso será mucho mayor y en distintos niveles.
En función del alcance del análisis

El test de intrusión sirve para simular en gran medida el proceso que debe
llevar adelante un atacante real para robar los activos de la organización. En
función de esto, también se puede realizar una clasificación importante para
determinar el alcance que tendrá la evaluación. Esto significa que, además
de interno o externo, el test de intrusión puede tener otras clasificaciones:
puede ser de tipo white box o definido, black box o blind y grey box. Veamos
cada uno de ellos.

White box (caja blanca)

En este caso, quien solicita el análisis le provee a quien lo realiza la

información relativa a la organización; por ejemplo, le hace entrega de los
bloques de direcciones IP (internet protocol), las credenciales de acceso, la
estructura de servidores, etcétera. A su vez, se pacta el alcance que tendrá
la evaluación, es decir, hasta qué punto se le permite al analista de
seguridad ingresar a los sistemas de la organización y profundizar en su
estructura tecnológica. En el análisis de caja blanca, el cliente tiene total
conocimiento de las tareas que deberá realizar el analista, de qué forma las
debe realizar y cuándo deberá realizarlas.
Black box o blind (caja negra)

Este es una mezcla entre white box y black box.

Informe final

La confección de un informe final es una tarea a la que no se le da mucha

importancia en la práctica. El profesional de seguridad informática tiene
como última tarea, luego de las evaluaciones técnicas, realizar un informe
donde se vuelque todo el trabajo realizado durante la evaluación, y es lo que
se debe hacer, de forma de entregarle a los responsables de la organización
todo lo mejor documentado posible. Este informe es de utilidad para ser
incluido en el sistema de gestión de la información, ya que va a permitir
planificar la forma en que se podrán remediar las vulnerabilidades
identificadas a nivel informático.

C O NT I NU A R
Lección 5 de 13

Tema 4: Fases de ataques informáticos

“Los guerreros expertos se hacen a sí mismos invencibles en primer lugar, y

después aguardan para descubrir la vulnerabilidad de sus adversarios” (Sun
Tzu, en Ramírez Ferreira, 2016, https://acento.com.do/opinion/ante-los-
suenos-irrealizados-mas-poder-mas-tiempo-8398536.html)

En este tema vamos a analizar las fases de un test de intrusión de forma

generalizada. Luego, con el avance de los módulos, veremos más detalles
de cada caso.

Existen diferentes fases de ataques informáticos: la fase de recolección de

información, la fase de ingeniería social y la fase de fuerza bruta. La
herramienta que vamos a utilizar para la recolección de información es una
distribución de Linux llamada Kali (antiguamente, backtrack) que veremos
en la próxima unidad.

Recolección de información
Esta fase es parte de la etapa de relevamiento (que veremos en la próxima
unidad) y es una de las más importantes antes de comenzar o emular un
ataque para realizar pruebas de vulnerabilidades en una organización.

Es de suma importancia recabar la mayor parte de información de los

sistemas para poder preparar los medios que se van a utilizar en el ataque o
su simulación para detectar vulnerabilidades. Esa información se debe
enumerar y los datos obtenidos se deben clasificar para planificar de forma
clara el ataque al objetivo final con toda la información posible.

Esta fase es la instancia previa a la ejecución de un ataque. En el ambiente

de informática, es conocida como information gathering (recopilación de
información), que se traduce como la recolección de datos acerca del
objetivo o de algún componente relacionado con este o parte de él.

En esta fase no solo se busca información de los sistemas, sino que se

amplía el abanico y se ponen en estudio sistemas, personas pertenecientes
a una organización, correos electrónicos (direcciones no contenido), bloques
de direcciones IP, navegación por internet, etcétera. Se hace todo esto
porque es común encontrar errores de uso de los sistemas en los
empleados, y esa es otra puerta que debe ser asegurada, ya que un
atacante la puede utilizar para ingresar al sistema.

Esta fase no discrimina información, todo es útil a la hora de escalar en un

sistema y planificar el ataque o la simulación del ataque.
Algunas preguntas útiles a la hora de comenzar a explotar esta fase serán:

¿Qué información tenemos acerca de nuestro objetivo?

¿Dónde se encuentran ubicadas sus redes, sitios o por dónde

realiza intercambio de información con el exterior?

¿Qué sistemas tienen y cómo se forman?

¿Los nombres de personas de la organización? Ya sean

empleados jerárquicos o de menor rango.

¿Qué información existe en internet relacionada con estos

empleados u organizaciones?

En esta fase el atacante busca definir su objetivo con el mayor nivel de

detalle posible. Cuando nos concentramos en las personas físicas, algunos
ejemplos de información que podemos obtener son direcciones de correo
electrónico, direcciones postales, información personal, bancos que utiliza,
etcétera. Si nos enfocamos en una perspectiva corporativa, la información
que se busca son direcciones IP, resolución de nombres de DNS (domain
name system- sistema de nombres de dominio), etcétera.

Esta etapa tiene diferentes técnicas que se utilizan de forma habitual para
dar con información relevante. Las más conocidas son las de footprinting
(huellas), que sirven para relevar información relacionada con direcciones IP
y datos técnicos, incluyendo herramientas propias del sistema operativo,
como WHOIS, Traceroute, Dig o Nslookup.

Otra forma de recolectar información, que funciona como una gran fuente
de información, es utilizar los buscadores (los más conocidos y los menos
conocidos), para lo que es imprescindible conocer en detalle las
características avanzadas de estos como, site:, intitle:, allinurl:, etcétera.

También se puede explotar la búsqueda de información que se encuentra en

los sitios web oficiales de una organización, como la publicación de
organigramas, de casillas de correo publicadas, de dirección, si tiene otras
sedes, etcétera.

Otra gran herramienta de recolección de información son las redes sociales,

desde donde se puede extraer información valiosa que sirva para un ataque,
ya sea información del personal o de la propia organización, porque tiene un
perfil oficial en las redes sociales.

Hay una infinidad de herramientas de utilidad a la hora de realizar la

recopilación de información. Algunas son de pago y otras son gratuitas.
Algunos ejemplos son: Foca (permite extraer metadatos en profundidad de
un archivo), Maltego (permite extraer información a partir de un nombre,
enlace, número telefónico, etc.), el sitio www.archive.org (entrega
información acerca de cómo se encontraban los sitios en el pasado, con un
archivo de 10 años para atrás), addons (extensiones) de buscadores,
etcétera.
Por lo más arriba expresado, el profesional de seguridad informática debe
tener en cuenta todo a fin de evitar filtrado de información valiosa por todos
los medios.

Ingeniería social

Es una fase ligada directamente a la seguridad de la información, que tiene

como objetivo las personas y el engaño a estas. Es un método basado
puramente en el engaño y la persuasión, que se utiliza para obtener
información significativa o para lograr que la víctima realice un determinado
acto, como ejecutar algo que se envía por mail, revelar una contraseña por
medio de un correo engañoso, etcétera. La ingeniería social apunta a
explotar el factor humano dentro de una infraestructura de sistemas de la
organización. Este factor humano siempre es considerado como la parte
más débil.

La ingeniería social se puede llevar adelante por diferentes canales

tecnológicos (mail, mensaje de chat, acceso a sitios web, redes sociales,
formularios de contacto, etc.) o bien de forma presencial, en una
conversación cara a cara con la víctima.

Ejemplos de ingeniería social

Un caso muy común de ingeniería social es el conocido como phishing
(suplantación de identidad). Esta actividad ocurre cuando se recibe un
correo electrónico que simula ser algo conocido para el usuario y lo invita a
realizar clic en un enlace (generalmente, fraudulento) que lo lleva a un sitio
web “conocido” o con las mismas características gráficas que el original,
para que allí vuelque los datos que se le solicitan, como números de tarjetas
de crédito, contraseñas, accesos a home banking, etcétera. Estos datos, al
ser cargados en un sitio fraudulento, son enviados de forma directa a los
atacantes, que obtienen información valiosa para sus objetivos.

Fuerza bruta

La fuerza bruta, como su nombre lo indica, es la forma de conseguir

información mediante prueba y error. Comúnmente, se explota esta
vulnerabilidad con credenciales de acceso o contraseñas de software. Esta
técnica proviene del criptoanálisis, que es el arte de romper códigos
cifrados. Es un algoritmo (hay una infinidad de programas para ponerlo en
práctica) que se encarga de generar y de ir probando diferentes
combinaciones de códigos hasta dar con el correcto y acceder a lo que se
busca.

Generalmente, esta fase —que no solo es utilizada para ataques o

mitigación de estos— apunta a romper contraseñas de acceso a sistemas
para luego desplegar el ataque pensado. Los profesionales de seguridad
informática utilizan este método para probar qué tan seguras son las claves
que utilizan dentro de una organización.

Es un método de altísima importancia que siempre debe estar presente en

un análisis de seguridad informática.

Las herramientas que son propias del sistema operativo y nos

permiten recolectar información de sistemas utilizados en una
organización son:

WHOIS.

Traceroute

Nslookup.

Phishing

SUBMIT
Conclusión

En esta unidad vimos los conceptos generales y técnicas para poner en

práctica el análisis de seguridad informática en una organización. Si bien es
una unidad totalmente teórica, nos permite conocer los conceptos básicos
para poder pasar a la práctica.

Con estos conocimientos, ya sabes qué es la seguridad informática y la

seguridad de la información, cuáles son los posibles ataques y cómo
probarlos a fin de analizar en profundidad el estado de vulneración de una
organización. Conoces las formas de detectar vulnerabilidades y la
existencia de herramientas y fases para recabar información.

En la próxima unidad, ¡llevaremos todo esto a la práctica!

C O NT I NU A R
Lección 6 de 13

Tema 1: Etapa de relevamiento

En la unidad anterior, vimos los aspectos teóricos y conceptuales

relacionados con la etapa de relevamiento, pero también nombramos
algunos métodos que se utilizan para reconocer y relevar información que
puede ser de utilidad para un atacante.

Para poder desarrollar y llevar adelante esta unidad, vamos a descargar la

distribución Kali Linux (tal como se indicó en el tema anterior). Esta es una
distribución Linux de código abierto “orientada a diversas tareas de
seguridad de la información, como pruebas de penetración, investigación de
seguridad, informática forense e ingeniería inversa” (Nolasco Valenzuela,
2018, p. 438). Anteriormente, esta distribución era llamada Backtrack, por
esto existe mucha documentación en la web si se busca con este nombre, la
cual es de total utilidad para aplicar en Kali.

Vamos a comenzar realizando la descarga de la distribución desde el

siguiente enlace: https://www.kali.org/get-kali/. Aquí se pueden ver todas las
versiones de descarga que hay de esta distribución. Nosotros vamos a
trabajar, por comodidad, con la máquina virtual descargando Máquinas
virtuales (posibilidad de elección de archivo para VMWare o VirtualBox). Se
debe contar con el software de VirtualBox (enlace de
descarga: https://www.virtualbox.org/wiki/Downloads) o VMWare (enlace de
descarga: https://www.vmware.com/) para poder abrir el archivo
descargado. Otras versiones existentes son: en la nube, en un live CD o en
un live USB, para arrancar desde ellos sin tocar el sistema operativo.

Figura 4: Selección del archivo Kali Linux que descargar

Fuente: captura de pantalla de Offensive Security (s. f., https://www.kali.org/get-kali/).

La máquina virtual está comprimida en formato 7-Zip (fuente de descarga:

https://www.7-zip.org) y preparada y lista para comenzar a trabajar. Sus
credenciales de acceso por defecto son:
 Usuario: kali.

Pass: Kali.

Se verá así al iniciar:

Figura 5: Pantalla de inicio de Kali Linux

Fuente: captura de pantalla del software Kali Linux (Offensive Security, 2013).

Figura 6: Herramientas de Kali Linux

 Fuente: captura de pantalla del software Kali Linux (Offensive Security, 2013).

La etapa de relevamiento se separa en tres fases: reconocimiento, escaneo

y enumeración de un sistema. Si recordamos lo anterior, tendremos
presente el concepto de caja negra, que es el tipo de proceso que más se
acerca a un atacante real, ya que este no tiene conocimiento previo de la
organización objetivo, más allá de su nombre. Por eso la fase de
reconocimiento es la que más tiempo consume dentro de la planificación de
un ataque.

La existencia de metodologías de trabajo cada vez tiene más peso en la

seguridad informática, por eso conoceremos en la fase de reconocimiento
cuáles son los resultados que deben surgir dentro de su ejecución. Por un
lado, sabemos que debemos obtener toda la información relacionada con
una organización objetivo de ataque, razón por la cual, cuanta más
información se obtenga, más se ampliarán las posibilidades de que el
ataque sea exitoso.

Algunos de los datos de interés para un atacante son: la formación

relacionada con el negocio, el organigrama, los puestos de trabajo dentro de
la organización, los perfiles de usuarios, los puestos que ocupa cada
persona y sus pasatiempos.

Veamos, a continuación, cómo recopilar información de una organización

con la técnica de footprinting en la red (network footprinting) y desde
internet.

Network footprinting

Es la fuente más común para obtener información correspondiente a

direcciones IP y datos técnicos. Aquellas que ofrece el sistema operativo
son, por ejemplo, WHOIS, Traceroute, Dig y Nslookup. A esto se le puede
adicionar una de las técnicas más utilizadas, la enumeración de DNS, que
tiene por objetivo listar y ubicar todos los servidores DNS y sus registros
dentro de la organización (ya que esta puede tener DNS internos y
externos), lo que hablaría de objetivos de ataque distintos. Dentro de Kali
Linux, existe una herramienta, denominada fierce, que se utiliza para
obtener información relevante de una organización. Para acceder a ella
utilizando Kali, vamos a buscarla en los programas, como se muestra a
continuación.

Figura 7: Acceso a herramienta fierce

Fuente: captura de pantalla del software Kali Linux (Offensive Security, 2013).

Al abrir la herramienta, se nos mostrará una ayuda en forma de guía para

poder conocer los comandos que se deben utilizar. Como ejemplo vamos a
proceder a buscar información del sitio www.mercadolibre.com. Para esto,
en la consola de fierce, escribimos el comando fierce --domain sitio (en
este caso, fierce --domain mercadolibre.com) y presionamos Enter.
Figura 8: Resultados de uso del comando fierce --domain sitio

Fuente: captura de pantalla del software Kali Linux (Offensive Security, 2013).

Si observamos la imagen anterior, veremos que fierce realiza diferentes

pruebas de dominio. Como primera información, obtienen los servidores
DNS del sitio y luego analiza la transferencia de zonas de DNS (DNS zone
transfer- zona de transferencia). Este ataque o simulación de ataque permite
obtener una lista completa de todos los hosts que se encuentran registrados
en la zona DNS de un servidor. Si un servidor se encuentra mal configurado,
un atacante, sin utilizar ninguna herramienta más que las propias de un
sistema operativo (Nslookup, por ejemplo), podría aprovecharse de esta
deficiencia y copiar la lista completa de hosts. Fierce aplica la técnica de
fuerza bruta para enumerar los dominios a partir de una lista de nombres
comunes y lleva a cabo esta comprobación realizando diferentes pruebas
hasta dar con la correcta. Conocemos que los nombres más utilizados son
mail.dominio.com, ftp.dominio.com.

WHOIS

Otra forma de revelar información es utilizando las consultas de WHOIS,

que es un protocolo TCP que realiza consultas a un conjunto de bases de
datos WHOIS con el objetivo de obtener información de carácter
administrativo que se encuentre disponible de forma pública por medio de
los registros de internet.

A partir de WHOIS, podemos obtener información de registro de un dominio,

el nombre de la persona responsable de dicho dominio, el correo electrónico
de registro o contacto, el número de teléfono y las direcciones IP de sus
principales servidores. Esto permite que atacantes de tipo spammer se
hagan con gran cantidad de direcciones de mail. Dependiendo de cuál sea
el caso de estudio, muchas veces es posible dar también con el ISP
(proveedor del servicio de internet) de la organización.

Esta herramienta se puede utilizar desde la consola de Kali, pero también

existen numerosas herramientas (sitios web) en la web que brindan dicha
información.
Hasta el momento, pudimos revelar información sobre rangos de
direcciones IP, subdominios asociados a una organización
(nombre.dominio.com) e información de registro de dominios en línea. Si
nos enfocamos en el objetivo principal de esta etapa, lo que pretendemos es
acercarnos lo más posible al mapa de red externa que posee una
organización. Por lo tanto, más allá de conocer determinados equipos
asociados a direcciones IP, quisiéramos saber si la organización dispone de
rúter o firewall. La herramienta que nos permite obtener esta información es
Tracerout. Veámosla.

Traceroute

Esta herramienta permite identificar el camino que sigue un paquete de

datos desde un equipo de referencia (puede ser el equipo que se utiliza para
un ataque) hasta el objetivo. En función del camino recorrido por el paquete,
es posible obtener información adicional que tenga que ver con la
configuración de red de una organización, identificando, por ejemplo, rúters,
firewalls, etcétera.

Vamos a la consola de Kali (también existe una herramienta gráfica

http://www.visualroute.com) y ejecutamos el comando sudo traceroute -T
dominio.com. Al presionar Enter, se ejecutará Traceroute y nos brindará
información de interés. Veamos un ejemplo: extraigamos información del
sitio web clarín.com. Para ello, deberemos ejecutar el comando traceroute -
T clarín.com, y este nos arrojará información, como se muestra a
continuación.

Figura 9: Resultados de ejecutar Traceroute

Fuente: captura de pantalla del software Kali Linux (Offensive Security, 2013).

Desde el punto de vista de un atacante, siempre se deberán conocer las

direcciones IP, la ubicación geográfica y el camino por medio del uso de
internet para alcanzar un objetivo. Cada equipo que se encuentra en la ruta
hacia el objetivo puede ser una fuente de información útil para procesos
futuros.

Como conclusión de lo visto hasta ahora, podemos decir que la gran fuente
de información que tiene un atacante es internet. Si bien lo que recopilamos
hasta el momento es información de interés, vamos a ver otras fuentes
específicas que nos brindarán mayor cantidad y calidad de información.
Motores de búsqueda

Somos conscientes de que en internet hay una gran cantidad de información

disponible que es útil para un atacante, pero muchas veces esta información
no es tan accesible, aunque un atacante siempre encuentra la forma de dar
con ella. Aquí entra el concepto de búsquedas avanzadas. El profesional de
la seguridad informática tiene que tener pericia y creatividad para dar con
información que se encuentre en la red y controlarla. Este nuevo concepto,
que lleva el nombre de Google hacking, está basado en cadenas de
búsqueda específicas que pretenden identificar información variada que se
encuentre accesible desde la red: direcciones de correos electrónicos,
usuarios, servidores, vulnerabilidades conocidas e incluso cámaras de
seguridad que se encuentren publicadas en internet.

Vale aclarar que Google no es el único buscador capaz de efectuar este tipo
de búsquedas. Bing es otro buscador que da la posibilidad de aplicar
operadores para realizar búsquedas profundas. Un ejemplo dentro de Bing
es el uso del operador IP, que lo que hace es buscar direcciones IP dentro
de un sitio en particular.

Utilicemos un ejemplo. Vamos a suponer que queremos realizar la

búsqueda de archivos con contraseñas que están alojados en sitios web
publicados (podemos hacer una búsqueda generalizada o ajustarla a un
sitio en particular). Vamos al buscador Google y colocamos en el cuadro de
búsqueda “Index of / password.txt”. Entonces se desplegará un listado de
sitios que poseen archivos con claves sin seguridad alguna.

Figura 10: Listado de resultados al aplicar Index of /password.txt

Fuente: captura de pantalla de búsqueda en Google.

Un profesional de la seguridad informática, con solo utilizar la técnica de

Google hacking y paciencia (2 términos que a los atacantes les gustan
mucho), puede dar con distintos tipos de información:
 Detección de sistemas específicos.

Servidores publicados en internet con vulnerabilidades

específicas.

Usuarios, contraseñas y demás datos sensibles expuestos al

público.

Correos electrónicos e información sobre usuarios para el

planeamiento exitoso de los ataques de ingeniería social.

Sitios con accesos a la administración de dispositivos.

Localización de exploits y objetivos.

De este modo, vemos que, a partir del uso de un conjunto de

operadores, es posible hallar información relevante sobre una
organización, que, en conjunto con otros datos obtenidos de
diversas fuentes y luego de un proceso de correlación y cruce,
permite obtener información más rica y elaborada desde el
punto de vista del atacante. (Jara y Pacheco, 2012, pp. 83-84).

El profesional de la seguridad informática debe estar actualizado en estos

aspectos para evitar que, con la información tomada por medio de internet,
la organización sea atacada.

FOCA
“Es una herramienta… que automatiza y optimiza la recopilación de
información online” (Jara y Pacheco, 2012, p. 90) relacionada con los
metadatos de los archivos. Analizando los metadatos de los archivos, se
puede extraer información de interés para un atacante. Por eso esta
herramienta es de suma importancia dentro de la suite de herramientas de
los analistas de seguridad, ya que permite conocer los metadatos de los
archivos que circulan o se intercambian en la web (ya sea por mail o
aquellos subidos en un servidor abierto).

La información que se extrae con esta herramienta es muy valiosa, ya que

posibilita conocer el autor de un documento, la cantidad de ediciones que
tuvo, si fue impreso y, en ese caso, marca y modelo de impresora, las
fechas de edición y creación, el sistema operativo de creación, el
software de creación, etcétera.

Se puede acceder a esta herramienta online a través del siguiente enlace:

https://metashieldclean-up.elevenpaths.com

Metashield Clean-up Online

 Telefónica Cybersecurity & Cloud Tech, S.L. uses their own cookies for technical
purposes, such as keeping user sessions or guaranteeing the security of the site,
among others. The technical cookies are those strictly necessary to lend the services
provided by our web site and to work correctly.
MÁS INFORMACIÓN METASHIELD CLEAN-UP ONLINE 

Figura 11: FOCA

Fuente: captura de pantalla de homepage de Metashield (https://metashieldclean-

up.elevenpaths.com/).

Maltego
Es la herramienta por excelencia utilizada en la etapa de relevamiento no
solo por la capacidad que posee para recolectar datos, sino por la manera
intuitiva que tiene para presentarlos. A partir de la recopilación, se encarga
de forma automática de identificar y mostrar las relaciones existentes entre
la información relevada y la presente en forma de gráfico.

Sigamos con el ejemplo del sitio www.clarin.com. Lo vamos a introducir en

Maltego y vamos a ver la información que nos muestra.

Figura 12: Información que recopila Maltego

Fuente: captura de pantalla del software Maltego (Paterva, 2014).

Como se puede ver en la imagen, la herramienta nos brinda información
acerca del dominio buscado de forma clara y muy útil, aunque hay que
aclarar que, si se quiere evitar un ataque, dicha información no debería ser
de tan fácil acceso.

Fase de escaneo dentro del relevamiento

Hasta acá lo que realizamos fue el relevamiento de información que se

encuentra a disposición de cualquier atacante. En este punto, el profesional
de seguridad informática tiene más claro qué información está más o menos
expuesta a nivel de red y a nivel de usuario, así como aquella que se
relaciona con el perfil de la organización. A partir de ahora, comienza la fase
de escaneo, que es aquella donde se comienza a analizar todo, pero desde
una perspectiva más técnica y con el objetivo de detectar qué servicios y
aplicaciones utiliza la empresa, así como qué vulnerabilidades pueden ser
explotadas.

El escaneo es la segunda parte de la etapa de relevamiento. Ahora vamos a

pasar a identificar servicios, sistemas operativos y aplicaciones con más
detalle. En el caso de los sistemas operativos, es conveniente saber no solo
qué plataforma, sino qué versión de la plataforma se usa. Por ejemplo, si es
plataforma Windows o UNIX y si es Windows server 2003 o 2008, así como
si tienen todas las actualizaciones realizadas.
Respecto a las aplicaciones, es importante determinar qué servicio brindan
dentro de la organización, si esta cuenta con todas las actualizaciones y qué
versión de ella está en funcionamiento. Por ejemplo, si el equipo funciona
como un servidor web, deberíamos tener claro si lo hace por medio de
Apache o por medio de IIS. Pero también deberemos saber qué versión se
utiliza y qué medidas de seguridad se adoptaron al momento de su
instalación, haciendo especial hincapié en el análisis de las vulnerabilidades
existentes.

Antes de continuar con la metodología de escaneo, vamos a presentar la

herramienta NMAP, la cual es el escáner de puertos que cualquier persona
relacionada con el ámbito de la seguridad debe conocer. Si bien puede
descargarse del sitio http://nmap.org/, nosotros vamos a utilizar la versión
que viene incluida en Kali.

Para NMAP, un puerto puede presentar tres estados: abierto,

filtrado o cerrado. El hecho de que un puerto esté abierto
implica que el equipo objetivo acepta peticiones a él. Está
filtrado cuando un firewall u otro dispositivo de red lo
enmascara y previene que NMAP determine si está abierto o
no. Finalmente, se encuentra cerrado cuando el puerto no
admite conexiones, es decir, responde con un paquete TCP que
tiene habilitado el flag RST. (Jara y Pacheco, 2012, pp. 100-
101).
El comando que se utiliza para ejecutar NMAP es nmap IP.

Figura 13: Uso de NMAP

Fuente: captura de pantalla del software Kali Linux (Offensive Security, 2013).

Al inicio de la aplicación NMAP en Kali, vemos la ayuda de comandos.

En particular, para comenzar nos interesa el modificador –iL,

que nos permite incorporar como entrada al escaneo un archivo
de texto, donde cada una de las líneas sea una dirección IP. De
 esta forma, seremos capaces de agregar cada una de las
direcciones IP relevadas en la etapa de recopilación de
información a un archivo de texto denominado como deseemos,
por ejemplo, [ips.txt]. (Jara y Pacheco, 2012, p. 101).

Podemos almacenar la respuesta de los escaneos en un archivo para

consultarlo más tarde. Para esto nos interesa el comando -oN, y guardar los
resultados en un archivo .txt.

Existen siete pasos que se deben llevar adelante:

En forma secuencial, de modo tal que los resultados de cada

uno de ellos sirvan de entrada para el siguiente.

Si bien… existen herramientas que realizan varios de estos

pasos juntos, a los fines de clarificar el proceso, trabajaremos
por separado con cada uno de ellos. (Jara y Pacheco, 2012, p.
102).

Pasos que componen un escaneo

Figura 14: Pasos de escaneo

 Fuente: Jara y Pacheco, 2012, p. 102.

Vamos a entender de forma conceptual los pasos y qué herramientas se

utilizan para cada uno de ellos. En el próximo módulo, pondremos en
práctica cada uno de estos pasos de forma técnica.

Identificación de sistemas vivos

La forma más sencilla de verificar si un host está activo o no es

utilizando una herramienta que implemente la técnica de ping
sweep. Esta consiste en enviar paquetes ICMP request (uno
de los mensajes ICMP utilizados por el comando ping) a todos
los hosts de una red. Si un host responde, implica que está
 online y es potencialmente un objetivo de ataque. (Jara y
Pacheco, 2012, p. 103).

Identificación de puertos abiertos

El escaneo es el método utilizado para detectar puertos

abiertos en un sistema. Esto implica realizar pruebas sobre
cada puerto de cada host en particular; suele brindar más
información que ping sweep.

Para realizar el escaneo de puertos, utilizamos diversas

técnicas basadas en el protocolo TCP. Estas surgen a partir de
la activación de uno o varios de los flags de la cabecera TCP.

La manera más sencilla de identificar el estado de un puerto, es

decir, de saber si el puerto está abierto, cerrado o filtrado, es
tratando de conectarse a él. (Jara y Pacheco, 2012, p. 104).

Identificación del sistema operativo

El proceso de identificación del sistema operativo (OS

fingerprinting), tal como su nombre lo indica, tiene por objetivo
detectar cuál es el sistema operativo del equipo que está siendo
 escaneado. Puede llevarse a cabo en forma pasiva o activa. La
detección es pasiva cuando el análisis se realiza solo en
función de los paquetes que el host objetivo envía. La
herramienta denominada P0f lleva adelante este tipo de
detección.

En el caso de la identificación activa, el host que está

escaneando envía paquetes armados especialmente (por
ejemplo, manipulando los flags TCP), de modo tal de evaluar la
respuesta del equipo objetivo. Si bien este tipo de detección es
más efectiva, es menos discreta. (Jara y Pacheco, 2012, p.
105).

Identificación de aplicaciones

Una vez que identificamos los puertos abiertos, como regla

general podemos asociar a cada uno un servicio en especial.
Quien esté llevando adelante el test de intrusión será capaz de
determinar qué servicios se están brindando en el equipo
objetivo, en función de los puertos por defecto asociados a
cada servicio.

Por otro lado, a partir de la detección del sistema operativo…

podemos inferir qué aplicaciones se están ejecutando en dicho
equipo. Por ejemplo, si en el host objetivo está abierto el puerto
 80 y el sistema operativo identificado es una distribución Linux,
es altamente probable que la aplicación que esté brindando el
servicio web sea Apache. (Jara y Pacheco, 2012, p. 106).

Enumeración de un sistema

Si bien es posible enumerar dispositivos y recursos

externamente, la fase de enumeración se realiza desde la red
interna, ya sea porque se trata de un test de intrusión interno o
bien porque se realiza mediante una explotación de un vector
de ataque específico…

[El] objetivo [de la enumeración de un sistema] consiste en

obtener la mayor cantidad de información de la red interna que
nos permita lanzar ataques más sofisticados o elaborados.
Nombres o ID de usuarios, grupos de dominio, nombres de
equipos, recursos compartidos y servicios brindados
internamente son solo algunos de los objetivos puntuales de
esta etapa. (Jara y Pacheco, 2012, pp. 118-119).

El uso de comandos de [los sistemas operativos (Linux o

Windows)], la enumeración de usuarios por fuerza bruta y el
uso del protocolo SNMP también son medios que brindan
información relevante.
 A continuación, explicaremos distintos mecanismos genéricos
de enumeración: usuarios y grupos, nombres de equipos y
dispositivos [y] recursos compartidos. (Jara y Pacheco,
2012, p. 119).

Usuarios y grupos

Para realizar la enumeración de cuentas de usuarios y

grupos… suelen realizarse enumeraciones mediante CIF/SMB,
usando Simple Network Management Protocol (SNMP)…

En el caso de Linux, en vez de efectuarse mediante CIFS/SMB,

se implementa a través de NIS o SMB/NMB. Además…, se
trabaja directamente sobre Lightweight Directory Access
Protocol (LDAP)…

En el caso de sistemas Microsoft Windows, dentro del directorio

Support/Tools podemos encontrar una gran variedad de
herramientas, muchas de las cuales pueden usarse para
realizar el proceso de enumeración de sistemas en forma
sencilla. (Jara y Pacheco, 2012, pp. 120-121).

Nombres de equipos y dispositivos

 Es interesante conocer cuál es el nombre de los distintos
equipos, ya que la nomenclatura utilizada puede orientarnos
respecto a la función que cumplen…

[Generalmente] los administradores más conservadores

emplean una nomenclatura bien definida para identificar
claramente los tipos de dispositivo. Por ejemplo, [para el caso
de los servidores, utilizan] SERV001, SERVIDOR01, [etc.].
(Jara y Pacheco, 2012, p. 122).

Esta información es de mucha utilidad para un profesional de seguridad

informática y la debe tener en cuenta para acotar vulnerabilidades.

Recursos compartidos

La enumeración de recursos compartidos cobra especial valor,

ya que, por diversas razones, es frecuente encontrar en la red
interna carpetas, impresoras y demás recursos que no tienen
implementado un control de acceso eficiente en función de la
información que alojan.
Resulta común encontrar carpetas compartidas para todos los
usuarios que poseen información sensible, como datos de
tarjetas de crédito, archivos de configuración, etc.

La enumeración de recursos puede hacerse mediante diversas

técnicas. Las más utilizadas son a través de NETBIOS,
enumeración DNS o transferencia de zonas cuando es
posible, o bien mediante el protocolo SNMP. (Jara y Pacheco,
2012, pp. 124-125).

C O NT I NU A R
Lección 7 de 13

Tema 2: Etapa de acceso

A partir de la información recopilada y teniendo en cuenta las

vulnerabilidades detectadas, aquellas que tengan disponibles
mejores exploits o bien aquellas cuya explotación sea más
sencilla serán las elegidas y priorizadas por los atacantes al
momento de lanzar el ataque, de forma tal de maximizar las
probabilidades de éxito. Estas líneas de acción… son
conocidas como vectores de ataque. Algunos de estos
vectores de ataques típicos pueden ser los de denegación de
servicio, los ataques contra una aplicación web, los de fuerza
bruta a un formulario de login e, incluso, los de ingeniería
social. (Jara y Pacheco, 2012, p. 134).

Explotación de vulnerabilidades

El término exploit significa explotar o aprovechar. En

informática es una pieza de software, fragmento de datos o
secuencia de comandos que aprovecha un error, fallo o
debilidad, a fin de causar un comportamiento no deseado en un
 sistema o aplicación, pudiendo forzar cambios en su ejecución
con la posibilidad de ser controlado a voluntad. Si bien vamos a
centrarnos en los exploits informáticos, es importante remarcar
que el término no se circunscribe únicamente a este campo.
Por ejemplo, cuando lanzamos un ataque de ingeniería social,
el ardit o discurso que preparamos para convencer a una
víctima también es considerado un exploit.

Retomando los exploits informáticos, podemos clasificarlos de

distintas maneras considerando diferentes criterios. Por
ejemplo, la manera en que el exploit afecta al sistema (local,
remoto o del tipo ClientSide), el tipo de vulnerabilidad que
explota… y la clase de ataque que genera (DoS, ejecución
arbitraria de código, etc.). (Jara y Pacheco, 2012, pp. 134-135).

Tipos de exploits

Existen 3 tipos de exploits (ataques) de los cuales es importante conocer las

diferencias, ya que en el futuro y con el correr de los módulos son conceptos
que vamos a utilizar:

Los exploits remotos son aquellos que pueden ser lanzados

desde otra ubicación diferente de la del equipo víctima. Este
puede ser otro equipo dentro de la red interna o bien un equipo
desde internet.

Típicamente, los exploits remotos permiten acceder en forma

remota al equipo comprometido o bien dejarlo fuera de
servicio.

Por otra parte, los exploits locales: en ocasiones, al tomar

control de un equipo en forma remota, el acceso obtenido
presenta privilegios limitados. En estas situaciones es donde
los exploits locales entran en juego. Estos son ejecutados
localmente en el equipo y, en general, permiten elevar
privilegios hasta el Administrador en el caso de plataformas
Microsoft, o root, en plataformas [LINUX].

El tercer tipo son los exploits ClientSide. Desde hace unos

años hasta hoy, las aplicaciones y dispositivos vienen de fábrica
con un mayor número de características de seguridad
habilitadas. Debido a esto, los atacantes debieron desarrollar
[nuevas formas de ataque] que exploten otras debilidades en
las organizaciones.

Debemos saber que los exploits ClientSide buscan

aprovecharse de vulnerabilidades que típicamente se
encuentran en aplicaciones cliente, las cuales están instaladas
en gran parte de las estaciones de trabajo de las
 organizaciones, pero que no están expuestas a Internet.
Ejemplos de ellas son las aplicaciones de ofimática, como
Microsoft Office u Open Office, lectores de PDF, como Adobe
Acrobat Reader, navegadores de Internet, como Firefox,
Internet Explorer, Chrome o Safari, e incluso reproductores
multimedia, como Windows Media Player, Winamp o iTunes.

Notemos que en estos casos el exploit será un archivo

especialmente armado por el atacante con un formato
soportado por alguna de las aplicaciones, como un documento
PDF. Además, el vector de ataque estará segmentado en varias
partes, ya que, al no estar expuesto a Internet, el exploit…
deberá llegarle al objetivo por algún medio alternativo, por
ejemplo, un correo electrónico [o mensaje de chat]. Luego,
dicho archivo deberá ser ejecutado por el usuario y, recién en
esta instancia, si el ataque no es detenido por ningún control de
parte de la víctima (un firewall o un antivirus), se podrá tener
acceso al equipo objetivo. (Jara y Pacheco, 2012, pp. 138-139).

Mantenimiento del acceso

Una vez que un atacante se encuentra dentro del sistema, es decir, lo pudo
vulnerar y obtuvo un acceso, tiene como objetivo mantener ese acceso, no
ser descubierto y echado por la víctima.
 Por lo general, el acceso es solo un paso para la
consolidación de la posición, lo que viene a constituir el
verdadero objetivo del usuario malintencionado. Los métodos
utilizados son distintos, dependiendo de diversos factores, por
lo que existen variadas opciones utilizadas para mantener el
control en el tiempo. (Jara y Pacheco, 2012, p. 153).

Algunas herramientas que se utilizan para mantener el acceso.

Infección mediante malware

Llamamos malware (malicious software) a todo tipo de código

malicioso. Si bien se cree muchas veces que se trata solo de
virus, esto no es así en la actualidad, ya que estos últimos solo
representan un pequeño porcentaje del malware. Un malware
no es más que una pieza de software diseñada para infectar un
sistema. Se trata de pequeños componentes desarrollados con
el objeto de concretar alguna acción maliciosa. La peligrosidad
de un malware se establece sobre la base de dos criterios
principales: por un lado, su capacidad de hacer daño, y por
otro, su posibilidad de propagación.
Clasificaciones y objetivos

El malware suele acarrear problemas que van desde la

eliminación de archivos clave del sistema operativo y la
destrucción de particiones hasta alteraciones en un firmware.
Pero esto no es todo: la mayoría cuenta con las habilidades
necesarias para atacar nuevos sistemas y distribuirse tanto
como sea posible… El malware puede clasificarse en función
de múltiples características y criterios: según su origen, las
técnicas que utilizan para infectar, los tipos de archivos que
atacan, los lugares donde se esconden, los daños que causan,
el sistema operativo, etcétera, y un mismo malware puede
pertenecer a varias categorías. Originalmente, se conocieron
los virus que afectaban el sector de arranque de un disco, los
que dañaban directamente a los archivos ejecutables y los virus
de macro, que perjudicaban documentos aprovechando
características de las aplicaciones de oficina para elaborar
código malicioso. También han aparecido las bombas lógicas,
preparadas para activarse al cumplirse ciertos eventos
predefinidos…

La clasificación actual del malware, tomando en cuenta la forma

en que llega al sistema, incluye: troyanos, gusanos, adware,
spyware y virus. Además, considerando sus acciones o
características, aparecen los keyloggers, backdoors,
 ransomware, rogue y rootkits. (Jara y Pacheco, 2012, pp. 154-
155).

Una infección con malware que logra mantener el acceso al sistema y

propagarse por la red da la posibilidad de acceder a otros dispositivos.

Ocultamiento de archivos

Una acción que puede desear el atacante al penetrar un

sistema es ocultar archivos, ya sea para encontrarlos cuando
regrese, transmitirlos de manera sigilosa utilizando el sistema
como canal oculto o, más comúnmente, para que todo lo que se
haya creado, descargado y generado localmente permanezca a
salvo de los ojos detectores del sistema operativo y del
software de seguridad. Dos métodos muy empleados para
hacerlo son la esteganografía y el uso de las características
avanzadas de los sistemas de archivos, como los ADS
(Alternate Data Streams). (Jara y Pacheco, 2012, p. 167).

En el próximo módulo, vamos a tratar estos temas de forma técnica.

Minimización de huellas

Un aspecto que interesa a los atacantes es el de no dejar

huellas o minimizarlas, tal como haría un ninja. Un atacante
con poca experiencia solo pensará en cumplir con el objetivo,
en tanto que uno más avanzado considerará los detalles,
probablemente, los que marquen la diferencia entre ser
descubierto o no, y entre un experto y un principiante. Las
huellas pueden quedar en todos los lugares que son utilizados,
desde la red hasta el sistema operativo, y los mecanismos de
auditoría serán los responsables de hacer que toda la
información pueda ser recopilada y analizada. (Jara y Pacheco,
2012, p. 171).

Por todo lo analizado en la fase de acceso, es importante que un profesional

de seguridad informática esté capacitado para realizar pruebas como si
fuese un verdadero atacante, ya que es la única forma de poder minimizar al
máximo todas las posibles vulnerabilidades o huecos por donde pueda
ingresar un ataque.
Un exploit fuerza cambios en la ejecución de un sistema operativo o
aplicación.

Verdadero.

Falso.

SUBMIT

C O NT I NU A R
Lección 8 de 13

Tema 3: Ataques sin tecnología

Los ataques sin tecnología son aquellos en donde no se emplean técnicas,

ni software ni accesos indebidos a sistemas, sino que se valen de engañar
al usuario lícito. Le generan una necesidad o compromiso a un usuario para
que realice cierta tarea que permita luego un ataque. Por eso es de suma
importancia capacitar en todo momento al usuario final.

En el campo de la seguridad de la información, la ingeniería

social es la práctica para obtener datos confidenciales a través
de la manipulación psicológica de usuarios legítimos. La
técnica se puede utilizar para conseguir información, acceso o
privilegios en sistemas que permitan realizar algún acto que
perjudique o exponga a una persona o empresa a riesgos y
abusos. El principio en el que se basa la ingeniería social es
aquel que afirma que en cualquier sistema los usuarios son el
eslabón más débil de la cadena. En la práctica se utiliza el
teléfono o internet para engañar a la gente simulando, por
ejemplo, ser un empleado de un banco o de una empresa, un
compañero de trabajo, un técnico o un cliente y, así, obtener
 información. A través de internet, suelen enviarse solicitudes
para renovar credenciales de acceso a sitios, e-mails falsos que
piden respuestas e, incluso, las famosas cadenas, que llevan a
revelar información sensible o a violar políticas de seguridad.

Con este método se aprovechan algunas tendencias naturales

de las personas en vez de tener que encontrar agujeros de
seguridad en los sistemas. Los usuarios de sistemas deberían
ser advertidos temprana y frecuentemente para que no
divulguen contraseñas u otra información sensible a personas
que dicen ser administradores (en realidad, los administradores
de sistemas raramente necesitan saber contraseñas para
realizar sus tareas). Otro ejemplo es el uso de archivos
adjuntos en e-mails, que ejecutan un código malicioso.

La principal defensa contra la ingeniería social es educar y

concientizar a los usuarios en el uso y el cumplimiento de
políticas de seguridad. (Jara y Pacheco, 2012, pp. 294-295).

Estas políticas deben crearse junto con los responsables de la seguridad

informática de una organización.

Interacción humana e informática

Cuando la interacción se da por medios electrónicos, el
atacante requiere menos habilidades, ya que no está sujeto a la
espontaneidad del momento y puede planificar mejor [los pasos
que debe seguir]. Está claro que un buen especialista no
siempre se valdrá de una sola interacción, sino que será capaz
de regresar varias veces a sus víctimas hasta cumplir con su
objetivo.

Objetivos típicos

En líneas generales, lo que a nivel técnico se realizaría en una

instancia de recopilación de información y escaneo de un
penetration test, en el ámbito de la ingeniería social abarca la
obtención de datos personales y laborales de la gente a la que
se pretende engañar… Una de las profesiones más atacadas
es la de recepcionista. Los recepcionistas saben acerca del
acceso a un lugar y, de hecho, son los que autorizan el ingreso
en muchos casos. Otro objetivo típico son las secretarias y los
asistentes, quienes poseen datos sensibles de las personas a
las que asisten. También están los encargados y el personal de
limpieza de oficinas y edificios, que conocen los movimientos
de las personas, incluso en los ambientes más concurridos,
además de los telefonistas.

Problemáticas de las empresas

El caso de las empresas es particularmente preocupante si
consideramos que las personas que pertenecen a una
organización son, en general, numerosas. Esto hace que la
fuga de información se pueda dar por distintos canales y, a la
vez, que se dificulte la concientización masiva. Las empresas
usualmente tienen como regla capacitar a su personal para
evitar que sea víctima de los ataques de ingeniería social en
cualquiera de sus estilos…

Una parte de las soluciones en los entornos organizacionales

es el cumplimiento de normas y regulaciones internacionales
que permiten asegurar un determinado nivel estándar de
controles y auditorías [de seguridad informática constantes].

Phishing

El término phishing, en informática, denota un uso de la

ingeniería social para intentar adquirir información confidencial,
por ejemplo, contraseñas, cuentas bancarias, datos de tarjetas,
etcétera, de manera fraudulenta. El accionar del phisher (los
estafadores que utilizan esta técnica) es simple, ya que se hace
pasar por una persona o entidad de confianza (por correo
electrónico, SMS, mensajería instantánea o páginas web)
imitando el formato, el lenguaje y la imagen de entidades
bancarias o también corporaciones financieras.
En todos los casos, la comunicación simula ser oficial y suele
pedir algún tipo de dato de acceso o información relevante,
alegando motivos diversos, como verificación de movimientos,
cambio de políticas y posible fraude…

Objetivos primarios y secundarios

El phisher envía mensajes que suelen contener un link a

páginas web aparentemente reales de las entidades citadas,
pero que, en realidad, conduce a sitios falsos que emulan la
página original con el objetivo de pescar los datos ingresados
por los usuarios. Dado que los clientes pueden ver la página y
tienen confianza en la entidad, ingresan sus datos con
normalidad. A partir de ese momento, el phisher dispone de
información confidencial con la que puede realizar compras por
internet utilizando las tarjetas de crédito, efectuar transferencias
bancarias no autorizadas, retirar dinero en efectivo de cajeros
automáticos, etcétera…

En otros casos, los atacantes monitorean el comportamiento de

los usuarios para realizar estudios de mercado y luego
venderlos. Los daños causados por el phishing van desde la
imposibilidad de acceder al propio correo electrónico o
mensajero instantáneo hasta la pérdida de grandes sumas de
dinero…
 Métodos activos y pasivos

En cuanto al tipo de ataque, existen métodos activos y pasivos.

Los activos tienen que ver con la interacción del atacante con
las víctimas, en tanto que los pasivos consisten en esperar a
que las víctimas caigan en trampas dejadas por los atacantes.

En la mayoría de los métodos, además de las ideas originales

de los phishers, se utilizan conceptos técnicos de scripting o
programación. Por ejemplo, si recibimos un e-mail con un
enlace a un banco y apoyamos el puntero del mouse sobre el
link, este puede indicar la URL donde nos llevará. Una técnica
consiste en hacer que dicha URL esté mal escrita o utilizar
subdominios. También se pueden falsear enlaces utilizando
direcciones que contengan el carácter @ (arroba). (Jara y
Pacheco, 2012, pp. 298-302).

Un ejemplo de un caso real: Un usuario del sitio mercadolibre.com se puso

en contacto con un vendedor de un vehículo. El sitio web al que se accedió
era real, de modo que no existió engaño por parte de un enlace del sitio
web. El usuario, interesado en adquirir un vehículo, comenzó una
interacción mediante correo electrónico con el vendedor. Este le informó que
el vehículo se encontraba en un depósito de Mercado Libre y que daría el
aviso a fin de que este último hiciera la entrega del vehículo. Al usuario le
llegó un correo electrónico desde un dominio que supuestamente era de
MercadoLibre, pero dicho dominio era @mercadolibre.dominio.com, es decir
que el correo electrónico no pertenecía a MercadoLibre, sino que era un
subdominio de un tercero. Allí se utilizó ingeniería social y se procedió a una
estafa económica, ya que, simulando ser MercadoLibre, se logró un
depósito de dinero por parte del usuario.

Mensajería instantánea

A diferencia del correo electrónico, la comunicación entre

participantes de mensajería instantánea es en tiempo real y,
además, los programas nos informan cada vez que uno de
nuestros contactos se conecta. Los productos están basados
en una tecnología cliente/servidor: los usuarios utilizan un
cliente para conectarse con un servidor que centraliza las
comunicaciones…

Riesgos inherentes

Las personas suelen confiar en que quien está del otro lado es
el contacto que suponen, lo que, a priori, resulta potencialmente
peligroso, ya que alguien que roba una cuenta podría abrirla en
cualquier equipo y simular ser el verdadero usuario. Debemos
saber que las aplicaciones también permiten enviar archivos y
 enlaces, o compartir carpetas, y esto introduce otro riesgo
propio de dicha funcionalidad.

La estrecha relación entre el sistema operativo y el programa

de mensajería hace que, frente a un posible compromiso del
software, se produzca un error grave a nivel de sistema. Un
atacante sabrá aprovechar todos los huecos que ofrezcan los
mensajeros instantáneos con las funciones específicas de cada
uno para utilizarlos contra su objetivo. (Jara y Pacheco, 2012, p.
308).

En el caso de la mensajería instantánea, es importante capacitar a los

usuarios y empleados de una organización para que no utilicen los
mensajeros en los equipos informáticos internos.

Robo de identidad

El robo de identidad es el delito de más rápido crecimiento en el

mundo. Hasta no hace mucho tiempo, cuando un ladrón robaba
una billetera, el dinero era lo único que quería obtener; ahora lo
más valioso es el número de documento, la tarjeta de crédito,
de débito, los cheques y documentación con datos
 personales. Si la información confidencial personal cae en
manos de un delincuente, podría utilizarse para robar una
identidad digital y realizar actividades en nombre de otra
persona. (Jara y Pacheco, 2012, p. 311).

Un ejemplo real: luego del robo de una mochila con una computadora y
todos los documentos dentro, se procedió a realizar la compra de
estupefacientes en el exterior por medio de internet, con una tarjeta de
crédito robada. Este paquete fue enviado al país a nombre de la víctima.
Quienes tenían el documento robado en su poder retiraron el paquete con
una supuesta autorización, el hecho derivó en el allanamiento del domicilio
de la víctima y su detención. El dilema se resolvió en razón de que los
delincuentes realizaron la compra desde una IP que no se correspondía con
la del dueño de los documentos y con tarjetas de crédito robadas.

Redes sociales

Una red social es una estructura en la que hay individuos y

relaciones entre ellos. Al surgir distintos sitios web que brindan
la funcionalidad de interconectar personas, nacen las redes
sociales virtuales. Estas son un vehículo ideal para los
ciberdelincuentes, ya que presentan un medio de gran
 potencia que puede tener una alta efectividad, tanto para
conectarse con amigos y posibles socios comerciales como
para la averiguación de datos personales. De hecho, un
ciberdelincuente solo necesita llamar la atención de la gente
para lograr que haga clic en un link y, así, llevarla a un sitio que
el propio atacante controla, para que la víctima se infecte con
un código malicioso. (Jara y Pacheco, 2012, p. 315).

Estas son otro canal de robo de información para explotar vulnerabilidades

en una organización.

Existen buenas prácticas que se deben tener en cuenta en las redes

sociales

Distinguir entre los distintos contactos a la hora de compartir.

No publicar información personal delicada, sensible o

precisa.

No colocar fotos comprometedoras propias ni ajenas.

No contactar o ser contactado por otros usuarios con el fin

exclusivo de concertar un encuentro personal.

Pensar que en internet todo es público a la hora de emitir una

opinión, ya que esta se almacena en línea.
 No suscribirse a todo.

No tolerar comportamientos criminales o incorrectos.

No abusar verbalmente de otros usuarios.

No añadir contenidos pornográficos o de mal gusto.

No enviar spam a los contactos. (Jara y Pacheco, 2012, pp.

317-318).

Estas buenas prácticas se deben utilizar aplicadas a una organización a fin

de brindar un esquema de seguridad informática completo.

Eres empleado en una organización y te desempeñas en el Área de

Secretaría Directa del CEO de la firma. Sufriste un robo en donde se
llevaron tu computadora, tu equipo celular y tus documentos. Situándonos
en esta información, ¿qué vulnerabilidades pueden ser explotadas?

Robo de identidad digital, por contar con los

documentos y acceso a redes sociales.

Robo de datos sensibles correspondientes a la

organización.

Acceso a nuestras cuentas bancarias.

Ante la situación planteada, no existen
vulnerabilidades, ya que bloqueamos todo.

SUBMIT

C O NT I NU A R
Lección 9 de 13

Tema 4: Ataques a la infraestructura

A partir de todo lo que hemos visto hasta acá:

Sabemos que, dependiendo de la ética profesional y personal,

se puede estar de un bando o del otro. Aquellos que nos
dedicamos a proteger la información y sus activos, durante
mucho tiempo hemos implementado la seguridad en forma
reactiva. Es decir, los controles de seguridad se implementaban
al momento de resolver un incidente [(práctica que no está bien,
ya que se desarrolla a partir de un hecho)]… Debido a la
evolución de la actividad, cada vez con mayor frecuencia nos
encontramos con organizaciones que están comenzando a
implementar la seguridad de manera proactiva. Tal como hemos
mencionado e insistido en varias oportunidades…, esto solo es
posible a partir de la implementación de un sistema de gestión
de seguridad de la información (SGSI).

Un invaluable aliado de los SGSI en lo que a controles de

seguridad respecta es el concepto de defensa en
 profundidad. De esta forma, aunque uno de los controles sea
vulnerado, el atacante encontrará un nuevo escollo que
detendrá el ataque o, en el peor de los casos, minimizará su
impacto.

A continuación, analizaremos algunas técnicas de ataque que

son utilizadas para saltear uno o varios de los controles
implementados como parte de la defensa en profundidad.

Técnicas de ataque

Las técnicas que veremos a continuación son: poisoning o

envenenamiento de la red, análisis de protocolos o sniffing,
spoofing o impersonalización, hijacking o robo de sesiones,
ataques de fuerza bruta y, finalmente, denegación de servicio
(DoS). (Jara y Pacheco, 2012, pp. 230-231).

Haremos un recorrido teórico por estas para que queden claras y poder
llevarlas a la práctica más adelante.

Envenenamiento de la red: poisoning

La técnica de poisoning o envenenamiento consiste en
redireccionar el tráfico de usuarios lícitos a sitios usualmente
controlados por un atacante. Esta técnica suele implementarse
a partir de la manipulación de los protocolos ARP y DNS.

El ARP poisoning, también es conocido como ARP spoofing,

consiste en generar peticiones y respuestas ARP modificadas
con el objetivo de asociar la dirección MAC del atacante con la
dirección IP del gateway [(puerta de enlace)]. De este modo,
todo el tráfico de ese segmento pasará primero por el atacante,
que podrá analizarlo y redirigirlo luego hacia el destino final.

Un modo de protegerse frente al ARP spoofing es utilizando

tablas ARP estáticas… Un método alternativo se basa en usar
aplicaciones para detección de cambios de las tablas ARP
(Arpwatch, por ejemplo) e implementar el uso de la seguridad
de puerto que poseen algunos switches [o rúters] para evitar
cambios en las direcciones MAC. (Jara y Pacheco, 2012, pp.
231-232).

Análisis de protocolos: sniffing

Un sniffer o analizador de protocolos es una aplicación utilizada

para monitorear y analizar el tráfico en la red. Permite capturar
el tráfico y examinarlo en función de los protocolos soportados,
aplicando distintos tipos de filtros. Originalmente, fue
desarrollado para detectar errores y problemas de diseño en la
implementación de distintos tipos de redes.

Con este tipo de aplicaciones, es posible capturar datos y

visualizarlos cuando son transmitidos en texto plano. Por lo
tanto, cualquier protocolo que envíe los datos sin cifrar es
susceptible de ser analizado por un sniffer. Dentro de estos
protocolos, tenemos ejemplos como HTTP, SMTP, POP3, IMAP,
Telnet, FTP, etcétera. (Jara y Pacheco, 2012, pp. 233-234).

Impersonalización: spoofing

El spoofing es una técnica utilizada para suplantar la

identidad de otro sujeto, que puede ser un usuario o un
proceso. Dependiendo del protocolo al que se haga referencia,
esta técnica se implementará de diversas maneras, aunque las
más conocidas son las de IP spoofing, MAC spoofing y mail
spoofing.

Claro que, en términos generales, podemos englobar dentro del

spoofing a cualquier tecnología de red susceptible de sufrir
suplantaciones de identidad. Por esta sencilla razón es que la
técnica de ARP poisoning que hemos mencionado hasta este
momento también se conoce como ARP spoofing.
El IP spoofing consiste en sustituir la dirección IP de origen de
un paquete TCP/IP por otra dirección IP a la cual se le desea
suplantar la identidad. Esto se consigue usando programas que
implementen esta técnica o, incluso, modificando los paquetes
a mano.

Es importante tener en cuenta que las respuestas del host que

reciba los paquetes irán dirigidas a la IP falsificada. Por
ejemplo, si se envía un ping spoofeado, la respuesta será
recibida por el host que posee la IP spoofeada. Una analogía
similar podría hacerse al momento de enviar una carta postal.
Cuando una persona envía una carta, si en el sobre el
remitente, en vez de colocar su dirección, indica la del vecino,
cuando el receptor la reciba y la conteste, la respuesta llegará
al vecino, y no a quien realmente la envió.

En el caso del MAC spoofing, existen razones muy diversas

para decidir modificar la dirección MAC de un dispositivo de
red. Pero… ¿Cómo es posible cambiar la MAC de un
dispositivo si esta se encuentra grabada en una memoria de
solo lectura que no puede ser modificada? [(a nivel hardware,
de hecho)]. La respuesta es bastante simple: si bien es cierto
que dicha memoria no puede modificarse, también es real que
los sistemas operativos no consultan directamente al hardware,
sino que lo hacen a través del correspondiente controlador. Es
decir, la MAC es leída y almacenada por el controlador, lo que
posibilita modificarla desde ese lugar. Al depender del
controlador, la forma de modificarla dependerá de cada sistema
operativo; por ejemplo, con comandos propios del sistema (en
el caso de Linux y todos los *NIX) o modificando algunas
cadenas del Registro (en el caso de Windows).

La técnica del email spoofing es utilizada en algunos ataques

de ingeniería social porque, en diversas oportunidades, tiene
mayor importancia que el origen del correo electrónico sea
confiable para el receptor frente al hecho de que el atacante no
reciba respuesta. Por ejemplo, los formularios de
recomendación de los sitios web usualmente pueden ser
manipulados, permitiendo de esta manera el envío de correos
electrónicos a cualquier destinatario por medio de esta
plataforma.

Robo de sesiones: hijacking

El concepto de hijacking… hace referencia a toda técnica que

conlleve el secuestro o robo de información y sesiones por
parte de un atacante… Se utiliza en combinación con otras
técnicas y ataques, como el spoofing.

Su aplicación es muy amplia y puede puntualizarse en varias

técnicas específicas. Podemos hablar del secuestro de
conexiones de red o sesiones de terminal (session hijacking),
servicios, módems, páginas (page hijacking) e, incluso, las
variantes como el secuestro del Portapapeles o clipboard
hijacking, donde el Portapapeles es capturado y, cada vez que
se intenta pegar lo que se debería encontrar en él, aparece una
URL con una dirección maliciosa…

Fuerza bruta

Los ataques de fuerza bruta son, esencialmente, ataques que

buscan vulnerar mecanismos de autenticación basados en
credenciales del tipo usuario y contraseña.

Se basan en probar todas las combinaciones posibles del

espacio de claves de un sistema. Por ejemplo, si nuestra
aplicación solo permite claves de 8 caracteres y letras
minúsculas, el espacio estará determinado por 27^8 claves en
total, es decir, 282 429 536 481 claves. De esta forma, cuanto
mayor sea la potencia de cálculo de que disponemos, más
rápido podremos encontrar la contraseña correcta.

Pero, a medida que el espacio de claves y, en especial, la

longitud de estas crece, la capacidad de cálculo actual se
vuelve insuficiente para recorrer el espacio de claves total en
tiempos humanamente prácticos. Por esta razón, muchas
veces, en vez de recorrer por fuerza bruta pura todo el espacio
de claves, se utilizan diccionarios con claves organizadas
mediante algún criterio en particular. Algunos de ellos pueden
ser diccionarios de palabras en español o en inglés, claves por
defecto de dispositivos y cualquier otro criterio o combinación
que se nos ocurra…

Estos ataques pueden ser remotos, cuando se lanzan a un

servicio específico desde una ubicación externa; por ejemplo,
un ataque a un servicio FTP, Telnet, SSH, etc.

Herramientas como Hydra, Medusa o Brutus permiten

implementar este tipo de ataque dirigido hacia protocolos
específicos. (Jara y Pacheco, 2012, pp. 240-245).

Denegación de servicio

Los ataques de denegación de servicio (DoS) tienen por

objetivo saturar los recursos de un equipo o sistema de forma
tal de degradar su capacidad de respuesta o, en el mejor de los
casos, lograr que deje de responder. En términos generales,
estos recursos pueden ser memoria, capacidad de
procesamiento de la CPU, conexiones de red, disco duro,
etcétera…

También existen vulnerabilidades de denegación de servicio

que permiten que un servicio puntual deje de responder,
aunque el equipo siga respondiendo y funcionando. Por
 ejemplo, la vulnerabilidad de Slow Denial of Service, presente
en varias versiones de los servidores web Apache, cuando es
explotada con éxito, hace que el servicio web deje de funcionar,
pero, a excepción de dicho servicio, los otros se siguen
comportando con normalidad. (Jara y Pacheco, 2012, pp. 248-
250).

Si un atacante logra ingresar al sistema de la organización, pero se

encuentra con 3 barreras que debe romper para continuar con su objetivo,
¿el impacto en este qué resultado tiene?

Se minimiza el ataque.

Se frustra el ataque y el atacante se retira.

Se produce el ataque de igual forma, se saltean

todos los controles.

Ninguna de las anteriores.

SUBMIT
C O NT I NU A R
Lección 10 de 13

Cierre

Hemos llegado al final del primer módulo. A esta altura, el profesional

debería conocer los conceptos básicos de la seguridad informática para
poder aplicarlos en una organización, saber cómo se estructura y cómo
prepararse para analizar las posibles vulneraciones que existen.

Con lo aprendido hasta acá, el profesional será capaz de crear un listado de

tareas que llevar a cabo para proteger los activos del cliente y analizar toda
la información existente en la web para estar atento.

Estamos listos para continuar con todas las técnicas de búsqueda de

vulneraciones, como si fuésemos unos auténticos atacantes, porque ser un
profesional de la seguridad informática es saber utilizar de forma ética los
ataques a los diferentes sistemas.

C O NT I NU A R
Lección 11 de 13

Lectura complementaria

En este enlace encontrarás todas las herramientas que componen Kali con
su respectiva descripción y uso https://tools.kali.org/tools-listing

Kali Linux Tools Listing

MÁS INFORMACIÓN KALI 

Descarga desde https://www.kali.org de las herramientas a utilizar.

Kali Linux | Penetration Testing and Ethical Hacking
Linux Distribution
The most advanced penetration testing distribution. Ever. Kali Linux is an open-source,
Debian-based Linux distribution geared towards various information security tasks,
such as Penetration Testing, Security Research, Computer Forensics and Reverse
Engineering.
MÁS INFORMACIÓN KALI LINUX 

C O NT I NU A R
Lección 12 de 13

Glosario

A
–

Administrador de sistemas: Persona que tiene “la responsabilidad de

implementar, configurar, mantener, monitorear, documentar y asegurar
el correcto funcionamiento de un sistema informático” (Portinos, 2020,
https://blog.portinos.com/la-mateada/quienes-son-las-personas-detras-
de-los-sistemas).

Apache: Software de servidor web multiplataforma gratuito y de código

abierto.

Aplicaciones: “Tipo de software de computadora diseñado para

realizar un grupo de funciones, tareas o actividades coordinadas para
el beneficio del usuario” (Funnel MKT Experts, s. f., https://www.i-
s.com.mx/productividad/).

Ataque: “Intento de exponer, alterar, desestabilizar, destruir, eliminar

para obtener acceso sin autorización o utilizar un activo” (José Ignacio,
s. f., https://www.actualidadecommerce.com/los-6-ciber-ataques-mas-
comunes-en-un-ecommerce/).

Autenticidad: “Que la información provenga de una fuente fidedigna,

es decir, que el origen sea realmente quien envía la información”
(GlosarioIT, s. f., https://www.glosarioit.com/Autenticidad).
B
–

Baseline: “Es la versión de un documento que se ha revisado y

acordado formalmente, por lo que se toma como referencia para el
desarrollo posterior y solo debe cambiarse mediante el procedimiento
de control de cambios establecido” (Junta de Andalucía, s. f.,
http://www.juntadeandalucia.es/servicios/madeja/contenido/libro-
pautas/188).

Bibliotecas: Ofrece una interfaz que sirve para una funcionalidad

especial. Es el conjunto de implementaciones funcionales.

Black hat: Sombrero negro.

C
–

Confidencialidad: “Que la información sea accesible únicamente por

las entidades autorizadas” (Gobierno de Canarias, s. f.,
https://www3.gobiernodecanarias.org/medusa/ecoblog/flopmarl/segurid
ad-y-alta-disponibilidad/).

Contraseñas: “Serie secreta de caracteres que permite a un usuario

tener acceso a un archivo, a un [equipo/dispositivo] o a un programa”
(Rodríguez Ruiz, s. f., https://www.masadelante.com/faqs/password).

Corrección: Serie de actividades que permiten realizar tareas sobre

sistemas a fin de que un sistema o software funcione de forma eficaz.

Cracker: Aquellas personas que tienen la capacidad de vulnerar algún

sistema de seguridad.
D
–

Defensa en profundidad: “Modelo que pretende aplicar controles en

seguridad para proteger los datos en diferentes capas” (Bortnik, 2010,
https://www.welivesecurity.com/la-es/2010/05/24/defensa-en-
profundidad/) de forma escalonada.

Denegación de servicio (DDoS): Ataque “especialmente dirigido a

redes de computadoras. Tiene como objetivo lograr que un servicio
específico o recurso de la red quede completamente inaccesible a los
usuarios legítimos” (Noguera, s. f., https://culturacion.com/que-es-una-
denegacion-de-servicio/).

Detección: Puede ser un programa que detecta los accesos no

autorizados a redes o equipos informáticos.

Disponibilidad: “Capacidad de un servicio, de unos datos o de un

sistema a ser accesible y utilizable por los usuarios (o procesos)
autorizados cuando estos lo requieran” (Gobierno de Canarias, s. f.,
https://www3.gobiernodecanarias.org/medusa/ecoblog/flopmarl/segurid
ad-y-alta-disponibilidad/).

Domain name system: sistema de nombres de dominio.

E
–

Escalada de privilegios: Representa a un usuario que tiene ciertos

privilegios pero no posee derechos.
 Exploit: “Es un programa informático, una parte de un software o una
secuencia de comandos que se aprovecha de un error o vulnerabilidad
para provocar un comportamiento no intencionado o imprevisto en un
software, hardware o en cualquier dispositivo electrónico” (Panda
Security, s. f., https://www.pandasecurity.com/es/security-info/exploit/).

F
–

Firewalls: cortafuegos

Flag TCP: Este término es utilizado para informarle al extremo receptor

que hay ciertos datos dentro de un segmento que son urgentes y
deberían ser priorizados.

Footprinting: huellas.

Fuerza bruta: “Ataque en el que un actor malicioso utiliza distintas

técnicas para descubrir la contraseña de un tercero” (Albors, 2020,
https://www.welivesecurity.com/la-es/2020/06/24/que-es-ataque-fuerza-
bruta-como-funciona/).

G
–

Gap analytics: análisis GAP.

Google hacking: Representa la posibilidad de filtrar información en

Google.

Grey hat: sombrero gris.

H
–

Hacker: Es una persona que tiene la posibilidad de descubrir las

vulnerabilidades de un equipo informático.

Hacking ético: “Personas [que] son contratadas para ‘hackear’ un

sistema de forma controlada e identificar y reparar posibles
vulnerabilidades, lo que previene eficazmente la explotación [de estas]
por hackers maliciosos” (Tecnología para los negocios, s. f.,
https://ticnegocios.camaravalencia.com/servicios/tendencias/que-es-el-
hacking-etico/).

Hardening: Es un proceso por el cual nos aseguramos que las posibles

vulnerabilidades en un sistema están reducidas.

Hijhacking: Robo o actividad ilegal que realiza un atacante.

I
–

IIS: Es un servidor web.

Information gathering: recopilación de información.

Integridad: “Cualidad de un mensaje, comunicación o archivo que

permite comprobar que no se ha producido manipulación alguna en el
original, es decir, que no ha sido alterado” (Gobierno de Canarias, s. f.,
https://www3.gobiernodecanarias.org/medusa/ecoblog/flopmarl/segurid
ad-y-alta-disponibilidad/).

Internet protocol: protocolo de internet.

 IP: Es un conjunto único de números que identifica una interfaz en la
red.

IP spoofing: Suplantación de direcciones IP.

K
–

Kali Linux: Es una distribución diseñada para la auditoría y seguridad

informática.

L
–

Lammers: Persona que presume tener conocimientos de ataques

informáticos.

M
–

Mail spoofing: mails con remitentes falsos.

Maltego: se utiliza para inteligencia de fuentes abiertas o forenses.

Malware: software maligno.

Metadatos: son datos que tienen la facultad de describir otros datos.

Modelo OSI: Modelo de referencia para los protocolos de la red.

N
–

Network footprinting: Proceso de recogida de información en internet.

Newbie: usuario inexperto.

NIST: Instituto Nacional de Estándares y Tecnología.

Nmap: es un programa que sirve para rastrear puertos escritos.

No repudio: “Servicio de seguridad que permite probar la participación

de las partes en una comunicación” (Universidad Complutense de
Madrid, 2015, https://www.ucm.es/faq/generalidades-sobre-criptografia-
certificacion-y-firma/que-significa-no-repudio-o-irrenunciabilidad).

P
–

Penetration test: test de penetración.

Phishing: suplantación de identidad.

Phreaker: “Persona que se orienta al hacking de todo tipo de sistemas

telefónicos” (Rodríguez, s. f., https://culturacion.com/phreakers-los-
hackers-de-los-sistemas-telefonicos/).

Prevención: proveer una acción.

Protocolo: reglas que deben ser llevadas a cabo.

Puertos: permite enviar y recibir datos.

R
–

Recursos compartidos: “Cualquier recurso disponible para los

usuarios de la red, como carpetas, archivos, impresoras y
canalizaciones con nombre” (Forsenergy, s. f.,
https://forsenergy.com/es-es/aclui/html/fc747cd7-e7ca-4544-b485-
3c40230d848c.htm).

S
–

Script kiddie: son las personas que utilizan programas para atacar
sistemas.

Seguridad informática: “Proceso de prevenir y detectar el uso no

autorizado de un sistema informático” (Universidad Internacional de
Valencia, 2018, https://www.universidadviu.com/int/actualidad/nuestros-
expertos/que-es-la-seguridad-informatica-y-como-puede-ayudarme).

Servidor web: es un programa informático que procesa una aplicación

del lado del servidor.

Sistema operativo: Es un conjunto de programas de un sistema

informático.

Sniffing: es un programa que nos permite capturar tramas de una red.

Software: conjunto de programas.

T
–

TCP/IP: es un protocolo de transmisión.

Test de penetración: es una prueba que nos permite identificar las

vulnerabilidades de un sistema.

Transmission control protocol: protocolo de control de transmisión.

Trazabilidad: “Conjunto de procedimientos que permiten registrar e

identificar la ubicación y trayectoria del producto a lo largo de toda la
cadena de suministro” (Beetrack, s. f.,
https://www.beetrack.com/es/blog/tipos-de-trazabilidad-ventajas).

U
–

Universal serial bus: bus universal en serie.

V
–

Virus: puede alterar el funcionamiento de un dispositivo informático.

Vulnerabilidades: error o fallo en un sistema.

Vulnerability assessment: evaluación de vulnerabilidades.

W
–

White hat: sombrero blanco.

Z
–

Zone transfer: zona de transferencia.

C O NT I NU A R
Lección 13 de 13

Referencias

Albors, J. (2020). Qué es un ataque de fuerza bruta y cómo funciona.

Recuperado de https://www.welivesecurity.com/la-es/2020/06/24/que-es-
ataque-fuerza-bruta-como-funciona/

Astudillo, K. (2013). Hacking ético 101. ¡Cómo hackear profesionalmente

en 21 días o menos! Recuperado de
https://eduarmandov.files.wordpress.com/2017/05/security-hacking-etico-
101.pdf

Beetrack. (s. f.). Tipos de trazabilidad: ventajas y desventajas [+ Ejemplos].

Recuperado de https://www.beetrack.com/es/blog/tipos-de-trazabilidad-
ventajas

Benchimol, D. (Coord.). (2011). Hacking. Buenos Aires, AR: Fox Andina.

Blanco, D. y Cattafesta, M. F. (s. f.). Evaluación integral de seguridad

informática del centro de datos y comunicaciones (Trabajo final de grado).
Universidad Nacional del Centro de la Provincia de Buenos Aires, Buenos
Aires, AR. Recuperado de
https://www.ridaa.unicen.edu.ar/xmlui/bitstream/handle/123456789/1765/Tes
is%20Blanco%20y%20Cattafesta.pdf?sequence=1&isAllowed=y

Bortnik, S. (2010). Defensa en profundidad: qué es. Recuperado de

https://www.welivesecurity.com/la-es/2010/05/24/defensa-en-profundidad/

Forsenergy. (s. f.). Establecer los permisos de un recurso compartido.

Recuperado de https://forsenergy.com/es-es/aclui/html/fc747cd7-e7ca-4544-
b485-3c40230d848c.htm

Funnel MKT Experts. (s. f.). Productividad. Recuperado de https://www.i-

s.com.mx/productividad/

Giannone, A. O., Rodríguez, D. y Amatriain, H. (2018). Método de

inclusión de hacking ético en el proceso de testing de software (Trabajo final
de maestría). Universidad Tecnológica Nacional, Buenos Aires, AR.
Recuperado de
https://ria.utn.edu.ar/bitstream/handle/20.500.12272/4068/Tesis%20Maestria
%20GIANNONE%20Ariel%20.pdf?sequence=1&isAllowed=y

GlosarioIT. (s. f.). Autenticidad [Definición]. Recuperado de

https://www.glosarioit.com/Autenticidad

Gobierno de Canarias. (s. f.). Seguridad y Alta Disponibilidad. Recuperado

de
https://www3.gobiernodecanarias.org/medusa/ecoblog/flopmarl/seguridad-y-
alta-disponibilidad/

International Organization for Standarization/International Electronic

Comision (ISO/IEC). (2005). Information Security Management (Norma
ISO/IEC 27001). Recuperado de https://www.iso.org/isoiec-27001-
information-security.html

Interpolados. (2017). Comparación entre el modelo OSI y el modelo

TCP/IP. Recuperado de
https://interpolados.wordpress.com/2017/03/01/comparacion-entre-el-
modelo-osi-y-el-modelo-tcpip/

Jara, H. y Pacheco, F. G. (2012). Ethical hacking 2.0. Buenos Aires, AR:

Fox Andina.

José Ignacio. (s. f.). Los 6 ciber ataques más comunes en un eCommerce.
Recuperado de https://www.actualidadecommerce.com/los-6-ciber-ataques-
mas-comunes-en-un-ecommerce/

Junta de Andalucía. (s. f.). Gestionar las líneas base y peticiones de

cambio a los requisitos del sistema. Recuperado de
http://www.juntadeandalucia.es/servicios/madeja/contenido/libro-pautas/188

Paterva. (2014). Maltego (Versión 4.2.19) [Software de computación].

Noguera, B. (s. f.). ¿Qué es una denegación de servicio? Recuperado de
https://culturacion.com/que-es-una-denegacion-de-servicio/

Nolasco Valenzuela, J. S. (2018). Python. Aplicaciones prácticas. Madrid,

ES: Ra-Ma.

Offensive Security. (s. f.). [Captura de pantalla de descarga de Kali Linux].

Recuperado de https://www.kali.org/get-kali/

Offensive Security. (2013). Kali Linux (Versión 2021.2) [Software de

computación]. Recuperado de https://www.kali.org/

Panda Security. (s. f.). Exploit. Recuperado de

https://www.pandasecurity.com/es/security-info/exploit/

Rodríguez, F. (s. f.). Phreakers: Los hackers de los sistemas telefónicos.

Recuperado de https://culturacion.com/phreakers-los-hackers-de-los-
sistemas-telefonicos/

Portinos. (2020). ¿Quiénes son las personas detrás de los sistemas?

Recuperado de https://blog.portinos.com/la-mateada/quienes-son-las-
personas-detras-de-los-sistemas

Ramírez Ferreira, R. R. (2016). Ante los sueños irrealizados. ¿Más poder y

más tiempo? Recuperado de https://acento.com.do/opinion/ante-los-suenos-
irrealizados-mas-poder-mas-tiempo-8398536.html
Rodríguez Ruiz, S. (s. f.). ¿Qué es una contraseña o password? -
Definición de contraseña o password. Recuperado de
https://www.masadelante.com/faqs/password

Tecnología para los negocios. (s. f.). Qué es el hacking ético. Recuperado
de https://ticnegocios.camaravalencia.com/servicios/tendencias/que-es-el-
hacking-etico/

Universidad Complutense de Madrid. (2015). Generalidades sobre

Criptografía, Certificación y Firma. Recuperado de
https://www.ucm.es/faq/generalidades-sobre-criptografia-certificacion-y-
firma/que-significa-no-repudio-o-irrenunciabilidad

Universidad Internacional de Valencia. (2018). ¿Qué es la seguridad

informática y cómo puede ayudarme? Recuperado de
https://www.universidadviu.com/int/actualidad/nuestros-expertos/que-es-la-
seguridad-informatica-y-como-puede-ayudarme

C O NT I NU A R