Módulo 17: Atacando lo que

hacemos
Materiales del Instructor

CyberOps Associate v1.0

Materiales para el instructor: Guía de planificación del módulo 17
Esta presentación en PowerPoint se divide en dos partes:
• Guía de planificación para el instructor
• Información que le ayudará a familiarizarse con el módulo
• Ayuda didáctica
• Presentación de la clase del instructor
• Diapositivas opcionales que puede utilizar en el aula
• Comienza en la diapositiva 8

Nota: Elimine la Guía de Planificación de esta presentación antes de compartirla con otras personas.
Para obtener ayuda y recursos adicionales, diríjase a la Página Principal del Instructor y a los recursos del curso.
También puede visitar el sitio de desarrollo profesional en [Link], la página oficial de Facebook de Cisco
Networking Academy, o el grupo de Facebook exclusivo para instructores.

© 2016 Cisco y/o sus filiales. Todos los derechos reservados.

Información confidencial de Cisco. 2
¿Qué esperar en este módulo?
Para facilitar el aprendizaje, las siguientes características dentro de la GUI pueden ser incluidas en
este módulo:
Característica Descripción
Laboratorios prácticos Laboratorios diseñados para trabajar con equipos físicos.
Animaciones Exponga a los aprendices a nuevas habilidades y conceptos.
Cuestionario por tema en línea para ayudar a los aprendices a medir la
Verifique su conocimiento
comprensión del contenido.
Auto-evaluaciones que integran conceptos y habilidades aprendidas a lo largo
Cuestionarios de módulo
de los temas presentados en el módulo.
Resumen del módulo Resumen breve del contenido del módulo.

© 2016 Cisco y/o sus filiales. Todos los derechos reservados.

Información confidencial de Cisco. 3
Verificar el Aprendizaje

• Las actividades "Verifique su aprendizaje" están diseñadas para permitir que los estudiantes
determinen si están entendiendo el contenido y pueden continuar, o si es necesario un
repaso.
• Las actividades "Verifique su aprendizaje" no afectan las calificaciones de los estudiantes.

• No hay diapositivas separadas para estas actividades en la presentación de PowerPoint. Se

enumeran en el área de notas de la diapositiva que aparece antes de estas actividades.

© 2016 Cisco y/o sus filiales. Todos los derechos reservados.

Información confidencial de Cisco. 4
Módulo 17: Actividades
¿Qué actividades están asociadas con este módulo?

N.° de página Tipo de actividad Nombre de la actividad ¿Opcional?

17.1.1 Animación Vulnerabilidades de ARP Recomendado
17.1.7 Práctica de laboratorio Exploración del tráfico DNS Recomendado
17.2.6 Práctica de laboratorio Ataque a una base de datos MySQL Recomendado
17.2.7 Práctica de laboratorio Lectura de registros de servidores Recomendado
17.2.8 Verifique su conocimiento Ataques a los servicios de red Recomendado

© 2016 Cisco y/o sus filiales. Todos los derechos reservados.

Información confidencial de Cisco. 5
Módulo 17: Buenas prácticas
Antes de enseñar el Módulo 17, el instructor debe:
• Revisar las actividades y evaluaciones de este módulo.
• Tratar de incluir la mayor cantidad de preguntas que sean posibles, con el fin de mantener a
los estudiantes concentrados durante la presentación.

Tema 17.1
• Proporcionar una descripción general de ARP
• Reproducir una animación para demostrar el proceso ARP
• Explicar el ataque de envenenamiento caché de ARP
• Preguntar a los aprendices si son conscientes de los ataques DNS.

© 2016 Cisco y/o sus filiales. Todos los derechos reservados.

Información confidencial de Cisco. 6
Módulo 17: Buenas prácticas
Tema 17.2
• Muestre un breve vídeo sobre "ataque en la web" a los aprendices y luego explique el
concepto.
• Discuta sobre los iFrames maliciosos y su prevención.
• Explique la "mitigación con re-direccionamiento HTTP 302" y luego pida a la clase que haga
una lluvia de ideas sobre las medidas preventivas que se pueden tomar para evitar estos
ataques maliciosos.
• Defina Domain shadowing.
• Explique cómo los atacantes utilizan los ataques de inyección de código y de inyección
SQL.

© 2016 Cisco y/o sus filiales. Todos los derechos reservados.

Información confidencial de Cisco. 7
Módulo 17: Atacando lo que
hacemos

CyberOps Associates v1.0

Objetivos del módulo
Título del módulo: Atacando lo que hacemos.
Objetivo del Módulo: Explicar cómo las aplicaciones y servicios comunes de red son
vulnerables a ataques.

Título del tema Objetivo del tema

Servicios IP Explicar las vulnerabilidades del servicio IP.
Explicar cómo las vulnerabilidades de las aplicaciones de red permiten
Servicios Empresariales
los ataques a redes.

© 2016 Cisco y/o sus filiales. Todos los derechos reservados.

Información confidencial de Cisco. 9
17.1 Servicios IP

© 2016 Cisco y/o sus filiales. Todos los derechos reservados.

Información confidencial de Cisco. 10
Atacando lo que hacemos
Vulnerabilidades de ARP
• Los hosts transmiten una solicitud de ARP
hacia otros hosts del segmento de red
para determinar la dirección MAC de un Reproducir la animación para ver el proceso ARP en
funcionamiento.
host con una dirección IP específica.
• El host con la dirección IP que coincide
con la de la solicitud de ARP envía una
respuesta de ARP llamada "ARP gratuito".
• Un atacante puede envenenar la caché de
ARP de los dispositivos en la red local
• El objetivo es asociar la dirección MAC del
atacante con la dirección IP de la Puerta
de enlace por defecto en las caché ARP
de los hosts del segmento LAN. 

© 2016 Cisco y/o sus filiales. Todos los derechos reservados.

Información confidencial de Cisco. 11
Atacando lo que hacemos
Envenenamiento de caché ARP
• El envenenamiento de caché ARP se puede utilizar para lanzar varios ataques Man-in-
the-middle.
Proceso de envenenamiento de caché ARP
Solicitud de ARP Respuestas "ARP gratuito"
Respuesta de ARP
falsificadas

Nota: Existen muchas herramientas disponibles en internet para crear ataques de ARP MITM como dsniff, Cain & Abel,
ettercap, Yersinia, entre otras.
© 2016 Cisco y/o sus filiales. Todos los derechos reservados.
Información confidencial de Cisco. 12
Atacando lo que hacemos
Ataques DNS
Los ataques DNS incluyen los siguientes:
Ataques de servidores DNS abiertos.
• Una resolución DNS (DNS resolver) abierta es un servidor DNS abierto públicamente, como
Google DNS ([Link]) el cual responde a las consultas del cliente fuera de su dominio
administrativo. Son vulnerables a múltiples actividades maliciosas descritas en la tabla.

Vulnerabilidades de resolución DNS Descripción

Los atacantes envían Registros de Recursos (RR) falsificados

Ataque de envenenamiento de
a un servidor DNS, para redirigir a los usuarios de sitios
caché DNS
legítimos a sitios maliciosos.
Ataques de amplificación y reflexión Los atacantes envían mensajes de DNS a las resoluciones
de DNS abiertas utilizando la dirección IP de un host objetivo.
Este ataque DoS consume todos los recursos disponibles para
Ataques de utilización de recursos
afectar negativamente a las operaciones de la resolución de
DNS
DNS abierta.
© 2016 Cisco y/o sus filiales. Todos los derechos reservados.
Información confidencial de Cisco. 13
Atacando lo que hacemos
Ataques DNS
Ataques DNS sigilosos
• Para ocultar su identidad, los atacantes también utilizan las siguientes técnicas de DNS
sigilosas para llevar a cabo sus ataques.

Técnicas sigilosas de DNS Descripción

Los atacantes utilizan esta técnica para ocultar los sitios de phishing
Fast Flux y malware que les pertenecen. Las direcciones IP de DNS cambian
constantemente en cuestión de minutos.
Los atacantes utilizan esta técnica para cambiar rápidamente el
hostname para las asignaciones de dirección IP y también cambiar el
Double IP Flux
servidor de nombres autorizados. Esto hace más difícil identificar el
origen del ataque.
Los atacantes utilizan esta técnica en malware para generar
Algoritmos de generación de aleatoriamente nombres de dominio que puedan utilizarse como
dominio puntos de encuentro de sus servidores de Mando y control (C&C,
siglas en inglés).
© 2016 Cisco y/o sus filiales. Todos los derechos reservados.
Información confidencial de Cisco. 14
Atacando lo que hacemos
Ataques DNS
Ataques de DNS Domain shadowing
• En el uso de Domain shadowing implica que el atacante recolecta credenciales de cuenta de
dominio para crear múltiples subdominios para utilizarlos durante los ataques.
• Estos subdominios generalmente apuntan a servidores maliciosos sin alertar al propietario
real del dominio principal.

© 2016 Cisco y/o sus filiales. Todos los derechos reservados.

Información confidencial de Cisco. 15
Atacando lo que hacemos
Tunelizado DNS (tunneling)
• Es necesario que el analista de ciberseguridad sea capaz de detectar cuándo un intruso
está utilizando la tunelización DNS para robar los datos, y así evitar y contener el ataque.
• Para lograr esto, el analista de seguridad debe implementar una solución que pueda
bloquear las comunicaciones salientes de los hosts infectados.
• Los atacantes que utilizan la tunelización DNS colocan tráfico que no es DNS en tráfico
DNS. Con frecuencia, este método evade las soluciones de seguridad.
• Para que el atacante utilice la tunelización DNS, se modifican los distintos tipos de
registros DNS, como TXT, MX, SRV, NULL, A, o CNAME. Por ejemplo, un registro TXT
puede almacenar los comandos que son enviados hacia los bots de los host infectados
como respuestas DNS. 
• Para poder detener el tunneling (tunelizado) DNS, debe utilizarse un filtro que inspeccione
el tráfico de DNS.

© 2016 Cisco y/o sus filiales. Todos los derechos reservados.

Información confidencial de Cisco. 16
Atacando lo que hacemos
DHCP
• Los servidores DHCP proporcionan de
manera dinámica información de
configuración IP a los clientes.
• En la figura, un cliente transmite un
mensaje de descubrimiento de DHCP.
• El servidor DHCP responde con una
oferta de unicast que incluye
información de direccionamiento que el
cliente puede usar.
• El cliente transmite una solicitud DHCP
para decirle al servidor que el cliente
acepta la oferta.
• El servidor le responde mediante Funcionamiento normal de DHCP
unicast con un acuse de recibo,
aceptando la solicitud.
© 2016 Cisco y/o sus filiales. Todos los derechos reservados.
Información confidencial de Cisco. 17
Atacando lo que hacemos
Ataques de DHCP
Ataque de suplantación DHCP (DHCP spoofing)
• Un ataque de suplantación DHCP se produce cuando un servidor DHCP malicioso se
conecta a la red y proporciona parámetros falsos de configuración IP a los clientes legítimos.
Un servidor malicioso puede proporcionar una variedad de información engañosa, por
ejemplo:
• Puerta de enlace por defecto incorrecta: El atacante proporciona una puerta de enlace
por defecto (gateway) no válida o la dirección IP de su propio host para crear un ataque
de MITM.
• Servidor DNS incorrecto: El atacante proporciona una dirección del servidor DNS
incorrecta que dirige al usuario a un sitio web malicioso.
• Dirección IP incorrecta: El atacante proporciona una dirección IP no válida, una
dirección IP de puerta de enlace por defecto no válida o ambas. Luego, el atacante crea
un ataque DoS en el cliente DHCP.
© 2016 Cisco y/o sus filiales. Todos los derechos reservados.
Información confidencial de Cisco. 18
Atacando lo que hacemos
Exploración del tráfico DNS
En esta práctica de laboratorio cumpliremos los siguientes objetivos:
• Capturar tráfico DNS

• Explorar tráfico de consultas DNS

• Explorar tráfico de respuestas DNS

© 2016 Cisco y/o sus filiales. Todos los derechos reservados.

Información confidencial de Cisco. 19
17.2 Servicios de la empresa

© 2016 Cisco y/o sus filiales. Todos los derechos reservados.

Información confidencial de Cisco. 20
Servicios empresariales
HTTP y HTTPS
Para investigar los ataques basados en web, los analistas de seguridad deben comprender
muy bien cómo funciona un ataque estándar basado en web. 
Normalmente, estas son las etapas de un ataque típico de web:
• La víctima, sin saberlo, visita una página web infectada con malware.
• La página web comprometida redirige al usuario a un sitio que aloja código malicioso.
• El usuario visita este sitio con código malicioso y su computadora se infecta.
• Después de identificar un paquete de software vulnerable ejecutándose en la
computadora de la víctima, el kit de ataque (exploit kit) se comunica con el servidor de
kit de ataque para descargar el código malicioso.
• Una vez que se infecta la computadora de la víctima, se conecta al servidor de malware
y descarga una payload (carga útil).
• El paquete final de malware se ejecuta en la computadora de la víctima.
© 2016 Cisco y/o sus filiales. Todos los derechos reservados.
Información confidencial de Cisco. 21
Servicios empresariales
HTTP y HTTPS
Los registros de conexión del servidor suelen revelar información sobre el tipo de escaneo o de
ataque.

Los diferentes tipos de códigos de estado de conexión se mencionan aquí:

• Informativo 1xx
• Correcto 2xx
• Redirección 3xx
• Error de cliente 4xx
Para defendernos contra ataques basados en web debemos:
• Actualizar siempre el Sistema Operativo y los navegadores, con versiones y parches actuales.
• Utilizar un proxy web para bloquear sitios maliciosos.
• Utilizar las buenas prácticas de seguridad del proyecto Open Web Application Security Project
(OWASP) durante el desarrollo de aplicaciones web.
• Capacitar a los usuarios finales demostrándoles cómo evitar ataques basados en web.
© 2016 Cisco y/o sus filiales. Todos los derechos reservados.
Información confidencial de Cisco. 22
Servicios empresariales
Ataques HTTP comunes
iFrames maliciosos
• Un iFrame es un elemento de HTML que permite que el navegador cargue una página web de otra
fuente.
• En los ataques iFrame, los atacantes insertan anuncios de otras fuentes en la página.
• Los atacantes comprometen un servidor web y modifican las páginas web agregando HTML para el
iFrame malicioso.
• A medida que el iFrame se ejecuta en la página, se puede utilizar para entregar un exploit malicioso,
como publicidad de spam, kits de ataque (exploit kits) y otros tipos de malware.
Estas son algunas maneras de evitar o reducir los iFrames maliciosos:
• Utilizar un proxy web para bloquear sitios maliciosos.
• Asegurarse de que los desarrolladores web no usen iFrames. 
• Utilizar un servicio como Cisco Umbrella para evitar que los usuarios visiten sitios web que se sabe
que son maliciosos.
• Asegurarse de que el usuario final entienda lo que es un IFrame.
© 2016 Cisco y/o sus filiales. Todos los derechos reservados.
Información confidencial de Cisco. 23
Servicios empresariales
Ataques HTTP comunes
Mitigación con re-direccionamiento HTTP 302
• Los atacantes utilizan el código de respuesta HTTP 302 Found para dirigir el navegador web del
usuario a una nueva ubicación.
• El navegador cree que la nueva ubicación es la dirección URL en el encabezado, y a este se le
invita a solicitar esta nueva dirección URL. Esta función de re-direccionamiento puede utilizarse
varias veces hasta que el navegador, finalmente, llega a la página que contiene el exploit.
Estas son algunas maneras de evitar o reducir los ataques de re-direccionamiento
HTTP 302:
• Utilizar un proxy web para bloquear sitios maliciosos.
• Utilizar un servicio como Cisco Umbrella para evitar que los usuarios visiten sitios web que se
sabe que son maliciosos.
• Asegurarse de que el usuario final entienda cómo es redirigido su navegador por una serie de
re-direccionamientos HTTP 302.
© 2016 Cisco y/o sus filiales. Todos los derechos reservados.
Información confidencial de Cisco. 24
Servicios empresariales
Ataques HTTP comunes
Domain shadowing
• Cuando un atacante quiere crear un ataque Domain shadowing, primero debe
comprometer un dominio. Luego, debe crear múltiples subdominios de ese dominio, por
medio de domain registration logins secuestrados, para utilizarlos en los ataques.
• Después de crear estos subdominios, los atacantes pueden utilizarlos, incluso si se detecta
que son dominios maliciosos. Simplemente pueden crear más desde el dominio principal.
Estas son algunas maneras de prevenir o reducir los ataques Domain shadowing:
• Proteger todas las cuentas de propietario de dominio.
• Utilizar un proxy web para bloquear sitios maliciosos.
• Utilizar un servicio como Cisco Umbrella para evitar que los usuarios visiten sitios web que
se sabe que son maliciosos.
• Asegurarse de que los propietarios de dominios validen sus cuentas de registro y busquen
cualquier subdominio que no hayan autorizado.
© 2016 Cisco y/o sus filiales. Todos los derechos reservados.
Información confidencial de Cisco. 25
Servicios empresariales
Correo electrónico
A medida que aumenta el uso del correo electrónico, la seguridad se vuelve una prioridad
mayor. La manera en que los usuarios tienen acceso al correo electrónico hoy en día, también
aumenta la oportunidad de ataques de malware.
Ejemplos de amenazas de correo:
• Ataques basados en archivos adjuntos: Los atacantes incrustan contenido malicioso en los
archivos empresariales, por ejemplo, en un correo electrónico del departamento de TI.
• Suplantación de correo electrónico: Los atacantes crean mensajes de correo electrónico
con una dirección de remitente falsificada, pretendiendo engañar al destinatario para que
entregue dinero o información confidencial.
• Correo Spam: Los atacantes envían correo electrónico no solicitado que contiene publicidad o
archivos maliciosos.
• Servidor de correo con open relay: Es un servidor SMTP que permite que cualquiera en
Internet pueda enviar correo.
© 2016 Cisco y/o sus filiales. Todos los derechos reservados.
Información confidencial de Cisco. 26
Servicios empresariales
Bases de datos expuestas en la web
Las aplicaciones web suelen conectarse a una base de datos relacional para tener acceso a los datos.
Como las bases de datos relacionales a menudo contienen datos confidenciales, son un objetivo
frecuente de los ataques.
Inyección de códigos
• Los comandos del atacante son ejecutados mediante la aplicación web y tienen los mismos
permisos que dicha aplicación.
• Este tipo de ataques se usa porque, a menudo, no hay suficiente validación de las entradas.
Inyección SQL
• Los atacantes utilizan las inyecciones SQL para irrumpir la seguridad de la base de datos
relacional, crear consultas SQL maliciosas y obtener datos confidenciales de la base de datos
relacional.
• Un ataque de inyección SQL exitoso puede leer los datos confidenciales de la base de datos,
modificarlos, ejecutar operaciones de administración en la base de datos y, a veces, emitir
comandos al sistema operativo.
© 2016 Cisco y/o sus filiales. Todos los derechos reservados.
Información confidencial de Cisco. 27
 Servicios empresariales
Client-side Scripting
Cross-Site Scripting
• El Cross-Site Scriptings (XSS) ocurre cuando páginas web que se ejecutan en el navegador web del
cliente, se inyectan con scripts maliciosos.
• Estos scripts pueden ser usados por Visual Basic, JavaScript, entre otros, para tener acceso a una
computadora, recopilar información confidencial o desplegar más ataques y propagar malware.
• Los dos tipos principales de XSS son Almacenado (persistente) y Reflejado (no persistente).
• Formas de prevenir o reducir los ataques XSS:

• Asegurarse de que los desarrolladores de aplicaciones web conozcan las vulnerabilidades de

XSS y cómo evitarlas.
• Utilizar una implementación de IPS para detectar y evitar script maliciosos.
• Utilizar un proxy web para bloquear sitios maliciosos.
• Utilizar un servicio como Cisco Umbrella para impedir a los usuarios de navegar en sitios web
que se sabe que son maliciosos.
© 2016 Cisco y/o sus filiales. Todos los derechos reservados.
Información confidencial de Cisco. 28
Servicios empresariales
Ataque a una base de datos MySQL

En esta práctica de laboratorio cumpliremos los siguientes objetivos:

• Revisar un archivo PCAP de un ataque anterior hacia una base de datos SQL.

© 2016 Cisco y/o sus filiales. Todos los derechos reservados.

Información confidencial de Cisco. 29
Servicios empresariales
Lectura de registros de servidores
En esta práctica de laboratorio se cumplirán los siguientes objetivos:
• Leer archivos de registro con cat, more y less

• Archivos de registro y Syslog

• Archivos de registro y journalctl

© 2016 Cisco y/o sus filiales. Todos los derechos reservados.

Información confidencial de Cisco. 30
17.3 Resumen: Atacando lo
que hacemos

© 2016 Cisco y/o sus filiales. Todos los derechos reservados.

Información confidencial de Cisco. 31
 Resumen: Atacando lo que hacemos
¿Qué aprendimos en este módulo?
• Cualquier cliente puede enviar una respuesta de ARP no solicitada llamada “ARP gratuito.”
• Un atacante puede envenenar la caché ARP de los dispositivos en la red local y crear un ataque
MiTM para redireccionar el tráfico
• El protocolo Sistema de Nombres de Dominio (DNS) utiliza Registros de recursos (RR) para
identificar el tipo de respuesta DNS.
• Los servidores DNS abiertos son vulnerables a varias actividades malintencionadas, incluido el
envenenamiento de caché DNS, en el que se proporcionan registros falsificados al servidor abierto.
• En los ataques de amplificación y reflexión DNS, se aprovecha la naturaleza benigna del protocolo
DNS, para causar ataques DoS o DDoS.
• En los ataques de utilización de recursos DNS, se inicia un ataque DoS contra el propio servidor
DNS.
• Los atacantes utilizan Fast Flux, una técnica en la cual los servidores maliciosos cambian
rápidamente su dirección IP.
• Para poder detener el tunneling (tunelizado) DNS, debe utilizarse un filtro que inspeccione el tráfico
de DNS. © 2016 Cisco y/o sus filiales. Todos los derechos reservados.
Información confidencial de Cisco. 32
Atacando lo que hacemos, Resumen
¿Qué aprendimos en este módulo?
• Un ataque de suplantación DHCP se produce cuando un servidor DHCP malicioso se
conecta a la red, y proporciona parámetros falsos de configuración IP a los clientes
legítimos.
• La página web comprometida redirige al usuario a un sitio que aloja código malicioso, el cual
se conoce como "drive-by download"
• Los ataques de Cross-Site Scripting (XSS) se producen cuando los navegadores web
ejecutan scripts maliciosos en el cliente y proporcionan a los atacantes acceso a información
confidencial en el host local.
• El "Top 10 Web Application Security Risks" de OWASP está diseñado para ayudar a las
organizaciones a crear aplicaciones web seguras.

© 2016 Cisco y/o sus filiales. Todos los derechos reservados.

Información confidencial de Cisco. 33