Ataques

Informáticos
EQUIPO 4 - 3NM60
 ¿Qué es?
Un ataque es cualquier tipo de acción
que comprometa la seguridad de un
sistema, dispositivo o servicios.
 Malware
Un malware, es la abreviatura de
"software malicioso", el cual está
diseñado para realizar acciones maliciosas
en un sistema o dispositivo.
Este tipo de acciones puede variar,
desde dañar, o robar información, hasta
tomar el control total del sistema.
 Virus
Un virus informático es un tipo de malware
que tiene la capacidad de autorreplicarse y
propagarse a otros archivos o sistemas, a
menudo causando daño en el proceso. Los
virus suelen adjuntarse a archivos ejecutables
o a sectores de arranque de discos y
requieren de la interacción del usuario o de un
programa para que se active.
 Troyano
Un troyano, es un tipo de malware que se
disfraza como un programa aparentemente
legítimo o inofensivo para engañar a los
usuarios y ganar acceso a sus sistemas. A
diferencia de los virus, los troyanos no se
replican a sí mismos, pero pueden abrir una
puerta trasera en el sistema infectado para
permitir a un atacante acceder y controlar
el dispositivo de forma remota.
.
 Gusano
Los gusanos tienen la capacidad de propagarse y
replicarse a si mismo a través de conexiones de
red. A diferencia del virus, el gusano no necesita
que el usuario interactúe con el mismo para poder
activarlo. También tienen la capacidad de moverse a
través de redes y explotar las vulnerabilidades en
sistemas para infectar a otros dispositivos. Los
gusanos tienen el potencial destructivo, ya que
tienen la se propagan rápidamente y afectar una
gran cantidad de sistemas en poco tiempo.
 Spyware
El spyware es un tipo de malware, el
cual está diseñado para recopilar
información, de un dispositivo o sistema
sin el consentimiento o conocimiento del
usuario.
El propósito del spyware es espiar las
actividades del usuario, como la
navegación web, los hábitos de compra
en línea, contraseñas, mensajes y todo
tipo de información personal.
El spyware representa una amenaza a la
privacidad del usuario y a su seguridad.
PHISHING

para manipular personas para que

descarguen malware, mediante
electrónicos, mensajes de texto,
llamadas telefónicas o sitios web
fraudulento
ADWARE

Es un software no deseado
diseñado para mostrar pantallas
emergentes de forma espontanea

Publicidad engañosa
Instalacion de softwares no
deseados
RANSOMWARE

Es un tipo de malware que impide a

los usuarios acceder a su sistema o
a sus archivos personales y que
exige el pago de un rescate para
poder acceder de nuevo a ellos.

Spam malicioso
Correo electronico
PDF’s infectados
DOXING

consiste en revelar información

identificadora de una persona en
línea
Dirección postal
Detalles del lugar de trabajo
Números de teléfono personales
Números del seguro social
Información de las cuentas
bancarias o tarjetas de crédito
ATAQUE DE DENEGACION DE SERVICIO

atacante intenta sobrecargar un

servicio en línea con tráfico
malicioso
un solo dispositivo o un pequeño
número de dispositivos se utilizan
para inundar un servicio con
solicitudes o tráfico, lo que provoca
una saturación y una denegación de
servicio.
Denegación de servicio distribuido(DDoS)

Un ataque DDoS tiene como

objetivo sitios web y servidores e
interrumpe los servicios de red en
un intento de agotar los recursos
de una aplicación. Los autores de
estos ataques desbordan un sitio
con tráfico errante, lo que da lugar
a una funcionalidad deficiente del
sitio web o su desconexión por
completo.
 Denegación de servicio distribuido(DDoS)

Ataque volumetrico Ataque de protocolo Ataque a la capa de aplicación

Tienen como objetivo saturar el Tienen como objetivo consumir y Tienen como objetivo provocar
ancho de banda del recurso o agotar los recursos reales de los una caída del servidor web con
servicio objetivo. También se servidores y equipamiento solicitudes aparentemente
conocen como «ataques basados intermedio como firewalls. legítimas. Este tipo de ataque es
en volumen». Al enviar una gran También se conocen como fácil de implementar y difícil de
cantidad de tráfico mediante una «ataques basados en protocolo». parar o ralentizar, y suele estar
red de robots o botnet, los Para ello los atacantes usan dirigido a aplicaciones específicas.
atacantes ralentizan o impiden el solicitudes de conexión maliciosas
flujo de tráfico de los usuarios para vulnerar las comunicaciones
reales. del protocolo
Inyección SQL o SQL Injection

La inyección de SQL es una técnica

de inyección de código que explota
una vulnerabilidad de seguridad
dentro de la capa de base de datos
de una aplicación. Esta vulnerabilidad
puede encontrarse cuando la entrada
del usuario se filtra de forma
incorrecta debido a caracteres de
escape embebidos en sentencias SQL.
Inyección SQL o SQL Injection
Whaling o “Caza de ballenas”

El phishing de ballenas, o whaling en inglés,

es un tipo especial de ataque de phishing
que se dirige a altos cargos de empresas
con correos electrónicos, mensajes de
texto o llamadas telefónicas
fraudulentos.Los mensajes están
cuidadosamente redactados para manipular
al destinatario con el fin de que autorice
grandes pagos a los ciberdelincuentes o
divulgue información confidencial o valiosa
de carácter personal o empresarial.
Whaling o “Caza de ballenas”

A principios de 2016, la empresa tecnológica Snapchat fue

víctima de un ataque de whaling. Los hackers se hicieron
pasar por el CEO y enviaron un correo electrónico a otro
objetivo de alto rango solicitando información sobre las
nóminas de los empleados, actuales y anteriores. El usuario
reveló esta información a los atacantes, provocando así una
importante brecha. La Oficina Federal de Investigación (FBI)
fue llamada a intervenir para analizar el ataque.
Ataque de día cero (Day zero)

Los ataques de día cero, también

llamados exploits de día cero, son
ataques de ciberdelincuentes que
cumplen el objetivo de encontrar y
aprovechar vulnerabilidades
previamente desconocidas en el
software. Se denomina amenaza de
"día cero" porque una vez que se
descubre el fallo, el desarrollador o
la organización dispone de "cero
días" para dar con una solución.
Ataque de día cero (Day zero)

El malware Dridex encontró su

oportunidad en una vulnerabilidad de
Microsoft Word. En 2017,
escondieron el contenido malicioso
en los archivos adjuntos de MS
Word. El troyano se descargaba a la
vez que el usuario pensaba que solo
estaba accediendo al archivo que le
habían enviado. Sin embargo, el
malware era un fraude bancario y
afectó a millones de usuarios de
todo el mundo.
Ataque con contraseña

Un ataque con contraseña es

cuando alguien intenta acceder
a un recurso protegido por una
contraseña de forma maliciosa,
ya sea adivinando, descifrando
o robando la contraseña
 Ataque con contraseña

Ataque de fuerza bruta Ataque de diccionario

Spoofing de DNS

Se altera el DNS
Sitio web falso que
emula a uno legítimo
Redirige el tráfico
Formas de ejecucion

Montar sitios falsos que

sean réplica

Aprovechar un exploit

Applet incrustado HTML

Ataques MitM o Man in the Middle
Formas de comunicacion en linea

SISTEMA I SISTEMA II

ENTIDAD
EXTERNA
El ARP Adress
Resolution Protocol

ARP spoofing
Cross-site scripting XSS
Secuencias de comandos entre sitios

Se inyecta un script malicioso en un sitio

web para luego ser procesado y ejecutado

Reflected Cross-Site Scripting

Stored Cross-Site Scripting
DOM Cross-Site Scripting
Reflected Cross-Site Scripting
Stored Cross-Site Scripting
DOM-based Cross-Site Scripting

Document Object Model

Es una interfaz de programación
para representar la estructura
de un documento web y
conectarlo con un lenguaje de
scripting
Ataque de cumpleaños

Ataque criptográfico Algoritmo SHA

Ciberdelincuente Secure Hash Algorithm
Algoritmo de Hash Seguro
Algoritmos hash
Firmas digitales autentican las
comunicaciones Paradoja del cumpleaños
N => 23 entonces 50%
 Rootkits Metodos
Usando phishing se descarga sin
saber un programa y le da al
hacker casi todos los aspectos de
Software malicioso
SO
hacker capacidad
Mediante vulnerabilidades
introducirse en un dispositivo
Rootkit introducido en un archivo,
hacerse del control del mismo
pdf infectado

Tipos
Rootkits para hardware o firmware
Rootkits para el cargador del SO
Rootkits para memoria
Rootkits de modo núcleo o modo kernel
Rootkits virtuales
 ATAQUES INFORMATICOS

Secuencia
Keylogger TCP LOKI
Intento de predecir el Concepto que funciona
Programa de software o
número de secuencia para demostrar que los
un hardware que utiliza un
utilizado para identificar datos se pueden transmitir
atacante para registrar las
los paquetes en una de forma secreta a través
pulsaciones de teclas en el
conexión TCP, que se de una red escondiéndolos
teclado de un usuario.
puede usar para duplicar en el tráfico
paquetes que conducen al
secuestro de la sesión.
 Amenaza Como
interna Prevenirla
Involucra a las personas que Crear una cultura de
trabajan dentro de una ciberseguridad en la
organización.
organización y que utilizan el
Utiliza contraseñas complejas
acceso autorizado o sus
Habilita la autenticación
conocimientos sobre la entidad
multifactor
para lanzar un ataque.
Utiliza un firewall y un
software antivirus con
protección contra malware
Haz una copia de seguridad
de la información
 Ingeniería Como
social Prevenirla
Es el arte de manipular a las Ir mas despacio
personas para que renuncien a la Investiga los hechos
información confidencial.
Eliminar cualquier solicitud de
El atacante logra persuadir al usuario para que información financiera o
le permita acceder a sus contraseñas o contraseñas.
equipos informáticos, y robar información o
instalar software malicioso. Rechace las solicitudes de
ayuda u ofertas de ayuda.
No permitir que un enlace
controle dónde acaba.
Escaneo de puertos
El escaneo de puertos es un proceso
que implica verificar qué puertos de
una red están abiertos y disponibles
para recibir o enviar datos. Los
puertos son puntos de acceso a
través de los cuales las aplicaciones
y servicios se comunican en una red.
 Propósito del escaneo de
puertos:
Identificar los puertos abiertos en una red para determinar la
disposición de servicios y aplicaciones.
Evaluar la seguridad de una red al descubrir puertos no
autorizados o vulnerabilidades.
Comprobar la efectividad de las políticas de seguridad de una
red.
Identificar posibles puntos de entrada débiles que podrían ser
explotados por ciberdelincuentes.
 Ataque ACK Flood

Cómo funciona un paquete ACK

Un paquete ACK es simplemente un paquete TCP que se utiliza para confirmar la recepción de
datos. Cuando un dispositivo recibe datos, envía un paquete ACK al remitente para notificar que
los datos se han recibido correctamente. Esto es fundamental para el funcionamiento confiable
de las comunicaciones TCP.
 Propósito del
ataque ACK Flood:
Propósito del ataque ACK Flood:
El propósito de un ataque ACK Flood es
denegar el servicio a otros usuarios al
ralentizar o incluso colapsar el sistema
objetivo con una sobrecarga de tráfico.
Esto puede causar una interrupción en los
servicios y la comunicación normales.
Limitar las conexiones TCP
concurrentes: Puedes configurar
sistemas y dispositivos para limitar
el número de conexiones TCP
concurrentes que se pueden
establecer. Esto dificultará que los
atacantes inunden el sistema con
paquetes ACK.
 ARP Spoofing

El ARP Spoofing es una técnica que aprovecha el protocolo ARP (Address Resolution
Protocol) para redirigir el tráfico de red. El ARP se utiliza para mapear direcciones IP a
direcciones MAC en una red local. Un atacante manipula las tablas ARP de los
dispositivos en la red, lo que le permite interceptar, redirigir o incluso detener el tráfico
de red.
 Consecuencias del ARP Spoofing

Cuando un ataque ARP Spoofing tiene

éxito, el atacante puede:
Continuar enrutando mensajes tal
cual, lo que le permite robar datos no
cifrados.
Realizar el secuestro de sesiones y
acceder a cuentas de usuario activas.
Realizar ataques de denegación de
servicio distribuida (DDoS) al dirigir el
tráfico hacia un servidor específico.
Cambiar la comunicación, como la
descarga de archivos maliciosos en
una estación de trabajo.
 Cómo detectar el ARP Spoofing

Comprobar la caché ARP en tu software

de gestión de configuración y
automatización de tareas. La presencia
de dos direcciones MAC con la misma
dirección IP puede indicar un posible
ataque.
 Cómo detectar el ARP Spoofing

Observar el tráfico ARP en busca de actividad inusual,

como mensajes no solicitados que reclaman la
dirección MAC o IP del enrutador. Esta comunicación no
deseada puede ser un síntoma de un ataque ARP
Spoofing.
Wireshark es una herramienta de captura de paquetes
de red.
 Ping Flood
El "Ping Flood" es un tipo de ataque de
denegación de servicio (DoS) que tiene como
objetivo sobrecargar un servidor o dispositivo
de red inundándolo con una gran cantidad de
solicitudes ICMP Echo Request, comúnmente
conocidas como "ping". El resultado de este
ataque es la disminución del rendimiento o la
inaccesibilidad del servidor para los usuarios
legítimos.
 Funcionamiento

1. El atacante utiliza herramientas o scripts para

generar un gran número de solicitudes de ping y
las envía al servidor de destino.
2. El servidor recibe una avalancha de solicitudes
de ping y debe procesar cada una
individualmente.
3. La alta frecuencia de estas solicitudes puede
agotar los recursos del servidor.
4. El tráfico legítimo hacia el servidor se ve
afectado, lo que puede resultar en una
disminución de la velocidad o la indisponibilidad
de los servicios.
 Medidas de Protección:

Para protegerse contra un ataque Ping Flood, es

esencial implementar medidas de seguridad, como:
Filtrado de tráfico ICMP a través de firewalls y
sistemas de detección de intrusiones (IDS/IPS).
Establecimiento de políticas de seguridad para
limitar la cantidad de solicitudes de ping
permitidas en un período de tiempo.
Utilización de servicios o dispositivos anti-DDoS
que pueden mitigar y filtrar el tráfico malicioso.
 TCP Session Hijacking
El secuestro de sesión TCP implica:
1. Identificación de la sesión: El atacante encuentra
una sesión TCP legítima que desea tomar
control.
2. Suplantación de identidad: El atacante se hace
pasar por uno de los dispositivos legítimos
involucrados en la sesión.
3. Inyección de paquetes maliciosos: El atacante
inyecta paquetes maliciosos para alterar o
redirigir el tráfico.
4. Secuestro de la sesión: El atacante mantiene el
control de la sesión para continuar manipulando
el tráfico
 Tipos de secuestro de sesión:

1. Activo: El atacante toma el control de la

sesión y puede realizar acciones en
nombre del usuario legítimo, como
compras en línea o cambios de
contraseñas.
2. Pasivo: El atacante no toma el control de la
sesión, pero observa el tráfico y recopila
información sensible, como contraseñas o
datos.
 Cómo prevenir el secuestro de sesión:

Uso de HTTPS: Utilice HTTPS para cifrar todo el tráfico

de la sesión, lo que evita la interceptación del ID de
sesión en texto plano.
Actualizaciones del sistema: Mantenga sus sistemas
actualizados y utilice software antivirus confiable para
detectar malware.
VPN: Use una red privada virtual (VPN) para
enmascarar su IP y cifrar sus actividades en línea.
Evitar el phishing: No haga clic en enlaces de correos
electrónicos no verificados y evite caer en ataques de
phishing.
 FTP Bounce

Un ataque de rebote FTP es un tipo antiguo de ataque de red que se realiza

en servidores FTP para enviar tráfico saliente a un dispositivo, desde otro
servidor de la red. Aprovecha el modo pasivo FTP, donde el cliente inicia las
conexiones de control y de datos. El atacante emite un comando PORT y
engaña a la conexión FTP para ejecutar comandos y extraer información
confidencial de otro dispositivo en lugar del servidor previsto. Esto permite
al atacante comunicarse con un tercer dispositivo en la red y obtener
acceso no autorizado a información confidencial desde ese dispositivo.
 Operación de ataque de rebote FTP

Un ataque de rebote FTP se realiza de la siguiente forma:

1. Supongamos que hay un atacante A.

2. Hay dos servidores ( P y Q ) y un cliente (C) en la red.
3. Aquí Q es el tercer dispositivo de la red.

Paso 1: el atacante A establece una conexión de control FTP entre el cliente

C y el servidor P.
Paso 2: el atacante A emite un comando de puerto para la conexión de
datos, pero en lugar de especificar la IP del cliente C , el atacante
especifica la IP del servidor Q en el comando de puerto.

Paso 3: Ahora el atacante A envía las listas de comandos para ejecutar al

servidor P. La lista incluye comandos como abrir la conexión pasiva al
servidor Q desde el servidor P usando un comando de puerto, pero en lugar
de proporcionar la IP del servidor P , el atacante proporciona la IP del
atacante A. Por lo tanto, obtener acceso no autorizado a archivos en el
servidor Q.
Paso 4: El servidor Q envía los datos solicitados por el servidor P. Luego, el
servidor P envía estos datos al atacante A.
 Medidas de prevención

1. Los servidores FTP modernos se encargan de forma predeterminada

de este tipo de ataques. Hoy en día, los servidores FTP solo aceptan
comandos PORT que inician una conexión desde el host de origen.
Niega cualquier otro comando PORT que pueda intentar conectarse a
diferentes IP de dispositivos. Una persona puede verificar esta
característica predeterminada en sus sistemas.

2. Además, se puede configurar su firewall para denegar solicitudes en

el puerto 20. El puerto 20 es el puerto predeterminado para FTP pasivo
y se considera muy inseguro.
OS FingerPrinting

El OS Fingerprinting es un proceso encargado de la recopilación

de información que le permite a los usuarios poder identificar el
sistema operativo que está utilizando el ordenador objetivo.
El OS fingerprinting está basado principalmente en que cada uno de
los sistemas operativos responde de forma diferente a los distintos
paquetes malformados. De esta forma utilizan herramienta que les
permite poder comparar cada una de las respuesta con una base de
datos con referencias conocidas, por lo que es posible poder
identificar el SO que maneja cada una de las máquinas.
Los programas que se utilizan para realizar OS Fingerprinting se basan en dos
filosofías, escáner pasivo o activo:

En un escáner activo En un escáner pasivo la herramienta escucha

el trafico para identificar las maquinas que
la herramienta envía actúan en la red comparando sus tiempos de
paquetes esperando respuesta pero sin actuar en la red. Es una
técnica más difícil de detectar pero algunas
una respuesta del veces hay que esperar mucho tiempo si el
sistema operativo y la sistema que queremos identificar no envía
paquetes, no podemos identificarlo y al no
compara con su base enviar peticiones la herramienta no genera
de datos. respuestas esto limita su acción al ámbito.
El ping de la muerte

El ping de la muerte es un tipo de

ataque de denegación de servicio (DoS).
Para desencadenarlo, el atacante envía
un paquete de datos malicioso al
receptor. Cuando el sistema de destino
intenta procesarlo, se genera un error
que bloquea el sistema.
 Cuál es la mecánica de un ataque ping de la
muerte
El atacante crea un paquete ICMP que supera el
tamaño máximo autorizado. Este datagrama se
divide en fragmentos más pequeños para que pueda
enviarse. Al volver a ensamblar todos los fragmentos
en el lado del destinatario, el último supera el tamaño
permitido, lo que provoca un desbordamiento de
búfer si el sistema está desprotegido. El resultado es
la caída o el bloqueo del sistema, que sufre el efecto
de denegación de servicio.
Un paquete Echo ICMP suele tener un tamaño de 56
bytes. Por el contrario, el paquete enviado en un
ataque ping of death tiene al menos 65 535 bytes, un
tamaño más de mil veces mayor y equivalente al
límite por paquete establecido en el subyacente
protocolo de Internet (IP).
 Medidas para protegerse del ping de la muerte

El ping de la muerte es uno de los ataques más antiguos. Desde que se descubrió, en 1997, se
han modificado algunas características del software de servidor y de los sistemas operativos,
de manera que siempre se pueda garantizar que no se excede el tamaño máximo de un
datagrama al combinar los fragmentos de IP.

Además, los paquetes maliciosos ya se filtran al pasar por la red, lo cual se puede hacer a nivel
de rúters y cortafuegos o mediante el uso de redes de distribución de contenidos o CDN (del
inglés content delivery network). En cada fragmento IP, se examina el encabezado, que debe
incluir la siguiente fórmula: longitud del fragmento + longitud total ≤ 65 535 bytes. Si un
fragmento IP no lo cumple, el tamaño total permitido se excede al ensamblar el datagrama y
el paquete es entonces descartado.
 ICMP Tunneling

ICMP Tunneling es una técnica que permite a los atacantes enviar tráfico
de red encubierto disfrazado como paquetes de control de mensajes de
protocolo de internet (ICMP). Esta técnica se utiliza comúnmente para
eludir las restricciones de seguridad de la red y evadir la detección de
herramientas de firewall o intrusiones.
se basa en la inyección de datos arbitrarios en un paquete de eco que es
enviado a un ordenador de manera remota. De tal modo, dicha máquina
responde de la misma forma y así, introduce una respuesta ilegal en otro
paquete ICMP para transmitirla de regreso.
Ataque CAM Table Overflow

Un ataque CAM Table Overflow es un tipo de ataque cibernético dirigido a

switches de red (conmutadores) que tienen como objetivo saturar la tabla
de direcciones MAC (Content Addressable Memory, por sus siglas en
inglés) del switch, lo que puede provocar un comportamiento no deseado,
como el envío de tráfico a todos los puertos del switch, facilitando la
interceptación de datos por parte del atacante.
 Cómo prevenir un ataque de
desbordamiento de tablas CAM

La forma real de evitar un ataque de desbordamiento de tabla CAM es indicar a

cada puerto que hay un límite en la cantidad de direcciones MAC que puede tener,
y eso se hace con la seguridad del puerto.

La seguridad del puerto puede indicar a cada uno de los puertos en los que
lo configure que el puerto solo debe memorizar un número máximo de
direcciones MAC.
Pero sea cual sea el límite, cuando le indicamos a cada puerto que hay un
máximo, si intenta ir más allá de ese límite, el switch apagará el puerto. Eso
resuelve el problema de un ataque de desbordamiento de tablas CAM.
Gracias por
su atención