TAREA 3 ESTUDIO DE SERVICIOS, ATAQUES Y PROCESOS

BERNABÉ SÁNCHEZ LENIS

UNIVERSIDAD NACIONAL ABIERTA Y A DISTANCIA – UNAD

ESCUELA DE CIENCIAS BASICAS, TECNOLOGIA E INGENIERIA - ECBTI
ESPECIALIZACIÓN EN SEGURIDAD INFORMÁTICA
YUMBO
2020
 TAREA 3 ESTUDIO DE SERVICIOS, ATAQUES Y PROCESOS

BERNABÉ SÁNCHEZ LENIS

Director:
JOHN FREDDY QUINTERO

UNIVERSIDAD NACIONAL ABIERTA Y A DISTANCIA – UNAD

ESCUELA DE CIENCIAS BASICAS, TECNOLOGIA E INGENIERIA - ECBTI
ESPECIALIZACIÓN EN SEGURIDAD INFORMÁTICA
YUMBO
2020
 Nota de aceptación:

Firma del presidente del jurado

Firma del jurado

Firma del jurado

Yumbo, 30 de noviembre de 2020

3
 CONTENIDO

Pág.

INTRODUCCIÓN.............................................................................................................................7

1 DESCRIBIR POR LO MENOS CUATRO ATAQUES TIPO APT “ADVANCED PERSISTENT THREAT”
QUE SE HAYAN DADO EN EL TRANSCURSO DE 2019 A NIVEL MUNDIAL........................................8

2 DESCRIBIR CÓMO PODRÍA LLEVAR A CABO UN ATAQUE A UN SISTEMA INFORMÁTICO Y

CÓMO DEBERÍA PROTEGERSE LA ORGANIZACIÓN CONTRA ESTE ATAQUE....................................9

3 DESCRIBA Y GENERE EJEMPLOS SOBRE EL CONCEPTO DE IOC´S “INDICADORES DE

COMPROMISO”, ¿POR QUÉ ES TAN IMPORTANTE ESTE CONCEPTO EN EL CAMPO DE ACCIÓN DE
LA SEGURIDAD INFORMÁTICA?...................................................................................................11

4 LAS AUDITORÍAS SON INDISPENSABLES DENTRO DE CUALQUIER ORGANIZACIÓN, ASÍ QUE

COMO EXPERTO EN SEGURIDAD INFORMÁTICA USTED DEBE DEFINIR LOS DIVERSOS PROCESOS
DE AUDITORÍA.............................................................................................................................12

5 ¿QUÉ ES UN IDS? ¿QUÉ FUNCIÓN TIENE UN IDS? MENCIONE UN IDS FREE............................13

6 ¿EN LAS TÉCNICAS DE AUDITORÍA DE CAJA NEGRA QUÉ FUNCIÓN TENDRÍA EL PROGRAMA
NMAP? ¿QUÉ RESULTADOS SE OBTIENE AL HACER USO DE ESTA APLICACIÓN? ..........................14

7 LOS EXPERTOS EN SEGURIDAD INFORMÁTICA SUELEN UTILIZAR HERRAMIENTAS, SCRIPTS, Y

SISTEMAS OPERATIVOS QUE SEAN FUNCIONALES A SU ACTIVIDAD ............................................17

8 ¿QUÉ ES PENTESTING?...........................................................................................................18

9 DEFINIR CON SUS PALABRAS ¿QUÉ ES UN EXPLOIT?, QUÉ UTILIDAD TIENE EN EL MUNDO DE
LA SEGURIDAD INFORMÁTICA? ¿Y QUÉ COMPONENTES CONFORMAN EL EXPLOIT?..................19

10 TENIENDO EN CUENTA EL ANEXO 3 USTED COMO EXPERTO EN SEGURIDAD Y AL ANALIZAR

EL ATAQUE QUE SUFRIÓ UNADHACK GENERE UNA SERIE DE RECOMENDACIONES PARA PODER
MITIGAR Y REDUCIR ESTE TIPO DE ATAQUE INFORMÁTICO........................................................20

11 DEFINIR CON SUS PALABRAS QUÉ ES UN CSIRT, ALCANCE Y TIPOS DE CSIRT´S ....................21

4
12 VIDEO DEL DESARROLLO DE LOS PUNTOS SELECCIONADOS.................................................21

CONCLUSIONES...........................................................................................................................22

BIBLIOGRAFIA..............................................................................................................................23

5
 LISTA DE TABLAS

Pág.

Tabla 1. Comandos principales y básicos para NMAP.....................................................................14

Tabla 2. Scripts con NMAP..............................................................................................................16
Tabla 3. Herramientas Kali Linux.....................................................................................................17

6
 INTRODUCCIÓN

Este documento explica procesos de ciberseguridad mediante conceptos teóricos

y básicos orientados a la seguridad informática y de la información, teniendo en
cuenta el caso planteado se indaga y se explican las herramientas y procesos de
diferentes ataques informáticos, así como de los servicios que prestan los CSIRT
a nivel mundial.
Como futuro experto en seguridad informática se argumentan los conceptos
básicos orientados a CSIRT, ataques informáticos y herramientas de seguridad
informática.

7
1 DESCRIBIR POR LO MENOS CUATRO ATAQUES TIPO APT “ADVANCED
PERSISTENT THREAT” QUE SE HAYAN DADO EN EL TRANSCURSO DE
2019 A NIVEL MUNDIAL

En los ataques de última generación se hallan los APT o amenaza avanzada

persistente, por medio de la cual se realiza un ataque a un conjunto específico
aprovechando las vulnerabilidades del sistema y penetrándose en él por un
extenso lapso de tiempo para monitorizar y captar datos.

GOd1, un joven estudiante de 20 años, que sin poseer formación específica en

informática y que vive todavía con sus padres en Hesse es el responsable del
ciberataque masivo contra políticos y figuras públicas en Alemania, a través de
correos electrónicos. Con variadas técnicas de phishing, los emails dirigidos a los
principales diputados y personas influyentes iban infectados para que GOd
pudiese acceder a toda su información.

Estroncio2, se cree ampliamente que este grupo está vinculado a la inteligencia

rusa y que desplegaron tácticas de "spearphishing" para perpetrar sus ataques,
utilizando correos electrónicos o sitios web falsos para obtener las credenciales de
los trabajadores de instituciones de renombre como el Consejo Alemán de
Relaciones Exteriores, los Institutos Aspen en Europa y el Fondo Marshall Alemán
(GMF) obteniendo acceso a los sistemas informáticos electorales en Europa.

ShadowHammer3, el grupo cibercriminal Winnti realizó un sofisticado ataque a los

servidores que gestionaban un software llamado ASUS Live Update propiedad de
la empresa de informática taiwanesa ASUS, al igual que esta empresa también
fueron atacadas Electronics Extreme, Innovative Extremist, Zepetto y una empresa
farmacéutica entre otras, todas en Corea del Sur. El trabajo de esta APT era
recopilar información que luego seria enviada al servidor C&C a través de HTTP
con una solicitud POST y la puerta trasera enviará una solicitud GET con el
propósito de recibir comandos.

1
PANDA SECURITY. GOd vs. Alemania: ¿Cómo puede un cibercriminal amateur hacer temblar a
todo un país? [Sitio web]. Panda mediacenter. 9 de abril de 2019. [Consultado: 1 de noviembre de
2020]. Disponible en: https://www.pandasecurity.com/es/mediacenter/seguridad/god-vs-alemania-
cibercriminal-amateur/.
2
INFOBAE. Microsoft advirtió que un grupo de hackers vinculado a la inteligencia rusa está
interfiriendo con las elecciones en Europa [Sitio web]. Infobae. 21 de febrero de 2019. [Consultado:
1 de noviembre de 2020]. Disponible en:
https://www.infobae.com/america/mundo/2019/02/21/microsoft-advirtio-que-un-grupo-de-hackers-
vinculado-a-la-inteligencia-rusa-esta-interfiriendo-con-las-elecciones-en-europa/.
3
ASUS. ASUS informa sobre el ataque de la herramienta de actualización por parte de grupos de
amenazas persistentes avanzadas (APT) [Sitio web]. Mexico: ASUS. 26 de marzo de 2019.
[Consultado: 1 de noviembre de 2020]. Disponible en:
https://www.asus.com/mx/News/uEpBfrfzfZpFNlv8.

8
Ke3chang4, también conocido como APT15 atacaron misiones diplomáticas en
Eslovaquia, Bélgica, Chile, Guatemala y Brasil utilizando una nueva versión de la
familia malware llamado Okrum, y aunque no es técnicamente complejo los
actores maliciosos detrás de él intentaban pasar desapercibidos mediante el uso
de diferentes tácticas como incrustar la carga útil maliciosa dentro de una imagen
PNG legítima, empleando varios métodos trucos anti-sandbox, además de realizar
cambios frecuentes en la implementación.

2 DESCRIBIR CÓMO PODRÍA LLEVAR A CABO UN ATAQUE A UN

SISTEMA INFORMÁTICO Y CÓMO DEBERÍA PROTEGERSE LA
ORGANIZACIÓN CONTRA ESTE ATAQUE

APT

Este tipo de ciberataque que se vuelve cada vez más sofisticado, se ejecuta a
gran escala con el propósito de robo de datos y/o espionaje de sistemas de
información. La mayoría de estos ataques tienen mucho éxito debido a las
vulnerabilidades ya conocidas que le dificultan a la víctima darse cuenta de que se
trata justamente de un APT y no de un ataque tradicional.

Uno de los principales vectores responsables por el cual se logra insertar

backdoors de tipo Troyano en los ordenadores afectados es la Ingeniería Social y
se insertan para asegurar el acceso permanente al entorno de la organización
objetivo siempre que se desee, incluso aun si los usuarios comprometidos llegan a
cambiar los datos de sus credenciales se pueden mantener estos accesos.

Comprendiendo que una APT se compone por un grupo de amenazas más

pequeñas coordinadas de forma inteligente, algunas de las medidas que se
pueden tomar para para evitar este tipo de ataque es generar conciencia de
seguridad, desarrollar un buen plan de respuesta a incidentes, implementar una
defensa por capas (controlar los puntos de entrada y de salida de red), manejar
técnicas de monitorización y detección, y optar por servicios de inteligencia de
amenazas ofrecidos por una empresa especializada en seguridad de la
información y ciberseguridad.

Vishing

Este fraude trata de suplantar la identidad de un tercero a través de una llamada

telefónica con el objetivo de conseguir los datos personales o bancarios de una
4
ESET. welivesecurity: Okrum: un backdoor del grupo Ke3chang utilizado para atacar misiones
diplomáticas [Sitio web]. Eset. 18 julio 2019. [Consultado: 1 de noviembre de 2020]. Disponible en:
https://www.welivesecurity.com/la-es/2019/07/18/okrum-backdoor-grupo-ke3chang-utilizado-atacar-
misiones-diplomaticas/.

9
persona, las suplantaciones de identidad más habituales son un técnico
informático, un asesor comercial de una compañía telefónica y una persona
interesada en algo que la víctima vende por internet.

Por consiguiente, llevar a cabo este tipo de ataque requiere tener cierta
información puntual sobre la victima que nos permita obtener un nivel de confianza
y seguridad que la empuje a confirmar o suministrar más información.

Una de las formas más efectiva para evitar este tipo de fraude por más obvia que
parezca es no facilitar ninguna información personal ni bancaria a través de una
llamada telefónica debido a que un banco como una compañía telefónica disponen
de esa información, por lo que no es necesario proporcionarla nuevamente a quien
está llamando.

Adicionalmente, comprobar el número de teléfono desde el que se hace la llamada

antes de responder por medio de aplicaciones y tecnología de rastreo de
llamadas. En cualquier caso, si se tiene sospecha de ser víctima de vishing es
recomendable presentar la denuncia correspondiente ante la Policía.

Pharming

El pharmer engaña al ordenador y a la víctima enviándolos a un lugar web falso en

vez del sitio donde la víctima pretendía ir. Para una persona visitar un lugar web
introduce la dirección URL del lugar donde un servidor DNS la convierte en una
dirección IP numérica.

Para este caso se puede comparar un servidor DNS con una agenda telefónica en
el cual la URL es el nombre de un lugar web y la dirección IP el número de
teléfono, los pharmers tienen la posibilidad de realizar cambios a esa lista
telefónica modificando los números de teléfono pertenecientes al lugar web
escogido

En términos informáticos, el pharming, compromete el tráfico de Internet en el

grado de DNS y envía al cliente a un lugar web falso construido por el hacker.

Para protegerse de este tipo de ataques se deben implementar diferentes medidas

de seguridad como el uso de antimalware y antivirus para grandes empresas, el
uso de add-ons para aumentar la seguridad, proporcionar análisis, gestionar datos
o impedir la ejecución de scripts en los navegadores web, verificar que el
proveedor de servicios de Internet (ISP) brinde la capacidad de filtrar
redireccionamientos falsos y bloquear los sitios fraudulentos. Finalmente, no se
debe pasar por alto la comprobación de los certificados de seguridad de las
páginas a las que se pretende acceder.

10
 3 DESCRIBA Y GENERE EJEMPLOS SOBRE EL CONCEPTO DE IOC´S
“INDICADORES DE COMPROMISO”, ¿POR QUÉ ES TAN IMPORTANTE
ESTE CONCEPTO EN EL CAMPO DE ACCIÓN DE LA SEGURIDAD
INFORMÁTICA?

Para empezar a describir el concepto de Indicadores de compromiso IoCs por sus

siglas en inglés (Indicators of Compromise) se presentará el siguiente ejemplo de
Digiware:

Imagine que el equipo de vigilancia de un banco busca evidencia de un robo

millonario de la noche anterior, en las pruebas del caso, las cámaras de vídeo
permitieron identificar que el ladrón se transportaba en una moto roja, vestía
una sudadera verde, una gorra de New York y llevaba consigo un maletín
negro de cartón prensado, dentro del maletín, un taladro y nitrógeno líquido
para entrar en la bóveda. El equipo de vigilancia identificó exitosamente las
características únicas del perfil del delincuente, además se observó su modus
operandi en la escena del crimen5.

Como se muestra en el ejemplo anterior la descripción sobre la evidencia de la

vulnerabilidad y exposición de la seguridad del banco, en el campo de acción de la
seguridad informática un IOC es la descripción de un incidente de ciberseguridad
o cualquier actividad maliciosa, que es posible identificar mediante patrones. En
este sentido, los indicadores de compromiso adquieren un papel muy importante
para la seguridad informática dentro de las organizaciones, ya que permiten
construir el perfil de un incidente, creando una línea base que permita la
identificación de diferentes variables asociadas a ese incidente y comparar el
dispositivo comprometido contra dichos parámetros permitiendo mejorar la
reacción, generar una alerta temprana y una respuesta al momento de ser
detectados por algún sistema de seguridad (WAF, FW, IPS, EDR, Antispam, etc.).
Entonces se puede llegar a la conclusión de que la importancia de contar con IOC
es permitir a las organizaciones o sistemas de ciberseguridad eludir ataques a
partir de la detección de vulnerabilidades ya utilizadas anteriormente por un grupo
de cibercriminales.

5
IoCs & IoAs: La inteligencia de las amenazas para la gestión de incidentes [blog]. Digiware.
Bogotá. 17 de junio, 2. [Consultado: 10 de noviembre de 2020]. Disponible en:
https://www.digiware.net/post/iocs-ioas-la-inteligencia-de-las-amenazas-para-la-gestion-de-
incidentes.

11
 4 LAS AUDITORÍAS SON INDISPENSABLES DENTRO DE CUALQUIER
ORGANIZACIÓN, ASÍ QUE COMO EXPERTO EN SEGURIDAD
INFORMÁTICA USTED DEBE DEFINIR LOS DIVERSOS PROCESOS DE
AUDITORÍA

El principal objetivo de una auditoría de seguridad es conocer el estado y nivel de

seguridad de un sistema de información. Se pueden distinguir tres tipos de
auditorías según el rol que se adquiera y la información de la que se disponga en
el momento de hacer el análisis:

Auditoría caja negra

Se denomina “caja negra” como una prueba a ciegas o test de intrusión, en la que
el auditor no posee conocimientos de la infraestructura tecnológica de una
organización.

Esta revisión de seguridad es ideal para simular ataques de forma

extremadamente similares a la de los cibercriminales permitiendo conocer el nivel
de fragilidad y de exposición en un ataque. Para la ejecución de pruebas de caja
negra, es necesario suministrar datos de entrada al sistema, el paso siguiente es
observar la salida obtenida y finalmente se compara con la salida esperada. Si
bien no se conoce la estructura interna del sistema, es posible predecir cómo se
va a comportar.

El equipo de analistas deberá recopilar información sobre la plataforma, para

plantear los escenarios de ataque más plausibles.

Auditoría caja blanca

Es una auditoría de seguridad más completa. En ella el auditor deberá adquirir el

rol de un usuario de la organización que le permitirá obtener la información técnica
sobre los activos a auditar para que en esta prueba se pueda dirigir un ataque
certero para descubrir lo que se necesita mejorar y reorientar.

Es importante destacar que las pruebas de caja blanca están enfocadas a

identificar debilidades en el diseño del código y no a detectar discrepancias entre
los requerimientos y su implementación. Esta revisión es complementada con la
revisión de seguridad de caja negra, con el objetivo de proteger adecuadamente
una plataforma frente a ataques más sofisticados.

Auditoría caja gris

Aunque le permite al auditor tomar el rol de un cliente, un empleado con pocos o

ningún privilegio, o un empleado de una ubicación concreta, la cantidad de

12
información es baja por lo que sus acciones estarán limitadas. Por ejemplo, un
empleado descontento intenta acceder a información restringida a la que no tiene
acceso como la base de datos del sistema, aunque no conozca el código,
comprobando lo que un usuario con ciertos privilegios puede llegar a lograr un
ataque interno a la organización.

5 ¿QUÉ ES UN IDS? ¿QUÉ FUNCIÓN TIENE UN IDS? MENCIONE UN IDS

FREE

El sistema de detección de intrusos IDS por sus siglas en inglés (Intrusion

Detections System), es una herramienta dentro del modelo de seguridad
informática de una organización que puede conectarse a un gran número de
fuentes de log para detectar actividades inapropiadas, incorrectas o anómala,
desde el exterior o interior de un dispositivo o una infraestructura de red.

Se clasifica en dos tipos:

 Sistema de detección de intrusos en la red (N-IDS): únicamente funciona

para la revisión permanente de la red, en busca de movimientos extraños.

 Sistema de detección de intrusos en el host (H-IDS): funciona mediante

un software, el cual se encarga de analizar toda la información detectada en
los registros del sistema.

La base de su función es el análisis pormenorizado del tráfico de red o el uso de

los dispositivos. Gracias a su base de datos de “firmas” de ataques conocidos que
le permite comparar y distinguir una situación que comprometa el uso normal de
un dispositivo y el uso fraudulento, y/o entre el tráfico normal de la red y el tráfico
que puede ser resultado de un ataque o intento del mismo.

Suricata: es un motor de detección de amenazas de red con madurez, rápido,

robusto, gratuito y de código abierto. Este motor tiene la capacidad de detectar
intrusiones en tiempo real (IDS), prevenir intrusiones en línea (IPS), monitorear la
seguridad de la red (NSM) y procesamiento pcap fuera de línea.

Este IDS soporta las siguientes plataformas:

 Ubuntu.
 Debian.
 CentOS.
 RedHat Enterprise 8.
 Fedora.

13
  OpenSuse.
 FreeBSD 8, 9 y 10.
 Mac OS X 10.11.
 Windows.

Las características técnicas más representativas son las siguientes:

 Multi-threading
 Soporte GPU (Cuda)
 Estadísticas de Rendimiento
 Detección de Protocolos automáticos
 Fast IP Matching
 IP Reputation, GeoIP, IP list support
 Graphic Cards Acceleration
 Soporta Lua Scripting

6 ¿EN LAS TÉCNICAS DE AUDITORÍA DE CAJA NEGRA QUÉ FUNCIÓN

TENDRÍA EL PROGRAMA NMAP? ¿QUÉ RESULTADOS SE OBTIENE AL
HACER USO DE ESTA APLICACIÓN?

Recordando que en las técnicas de auditoria de caja negra donde el auditor no

posee información sobre la organización (víctima), Nmap es una herramienta de
licencia libre de gran utilidad para explorar, administrar y auditar la seguridad de
redes informáticas, esta aplicación puede obtener datos como: equipos
disponibles en la red, puertos abiertos y los protocolo que utilizan, identificación
del tipo y versión de sistema operativo que maneja, servicios en funcionamiento,
que Firewall lo protege, etc.

Esta herramienta es compatible con sistemas operativos como Linux (diferentes

distros), Windows, Mac OS X, BSD, Solaris, AIX y AmigaOS. Los comandos más
utilizados según protegermipc.net6, son:

Tabla 1. Comandos principales y básicos para NMAP.

COMANDOS PRINCIPALES Y BÁSICOS PARA NMAP
Comando Función Ejemplo
nmap <IP>-<IP2> Escanear un rango de IPs nmap 192.168.1.1-115
nos resultaría útil en casos
de un posible ataque de red.

6
PROTEGERMIPC.NET. Tutorial y listado de comandos más útiles para Nmap: Listado de
comandos de NMAP comunes [Sitio web]. Madrid. 7 de noviembre de 2018. [Consultado: 12 de
noviembre de 2020]. Disponible en: https://protegermipc.net/2018/11/07/tutorial-y-listado-de-
comandos-mas-utiles-para-nmap/.

14
 si queremos intentar
averiguar donde tiene lugar.
También ahorraría tiempo al
rastrear este tipo de ataques.
Se usa simplemente
delimitando el último campo.
Este método de escaneo se nmap -p 80 192.168.1.200
centra en un puerto concreto.
De esta forma, De manera similar se puede
conseguiremos que la salida delimitar el primer y último puerto
nmap -p <número_puerto>
sea más corta si no estamos para escanear rangos de puertos:
interesados en otros.
nmap -p 80-995 192.168.1.200

Con este tipo de comando

analizaremos los 65536
puertos disponibles en cada
dispositivo. Este tipo de
escaneo puede interesar a
Con el comando anterior verás
un administrador, pero desde
todos los puertos actualmente
nmap -p- localhost luego no a un atacante.
detectados en tu equipo (abiertos
Primero, porque hace mucho
o filtrados).
ruido y segundo, porque
normalmente ellos utilizan
los conocidos como “half-
opening” (canal a medio
abrir).
Este comando determina si
el puerto objetivo está
escuchando. Mediante este
comando se puede llevar a
cabo una técnica conocida
como escaneo half-opening.
Se le conoce así porque
nmap -sS <IP> nmap -sS 192.168.1.200
comienza como una
conexión normal, pero no
llega a establecerse un
handshake por ambas
partes, sino que enviamos un
único paquete SYN y
esperamos la respuesta.
nmap -O <IP> Este comando averigua el nmap -O 192.168.43.45
sistema operativo, la versión
y los servicios activos en
nuestro objetivo gracias a
Nmap. No siempre
conseguirá darnos una
precisión máxima
(dependiendo de la
visibilidad que tenga sobre
ese host) pero siempre es un
buen aliado durante
cualquier test de

15
 penetración.
Comando para evaluar
únicamente los servicios con
puerto asociado, es muy
nmap -sV <IP> posible que la base de datos nmap -sV 192.168.1.43
de Nmap (con más de 2000
entradas) encuentre algo
interesante.
Comando para un análisis de
servicios más agresivo
podemos obtener más
información. Sin embargo,
nmap -sV --version- este escaneo deja más nmap -sV --version-intensity 5
intensity 5 <IP> trazas en el sistema y en 192.168.43.1
logs de firewalls, por lo que
los hackers “black hat”
normalmente no utilizan este
tipo de escaneo.
Comando para un escaneo
ligero de este tipo es usado
normalmente por hackers
cuando intentan permanecer
nmap -sV --version- en la sombra. Es mucho nmap -sV --version-intensity 0
intensity 0 <IP> menos ruidoso que un 192.168.43.1
escaneo agresivo y permite
obtener datos sin llamar
demasiado la atención, lo
que aporta una clara ventaja.
Comando para descubrir
equipos vivos (es decir, que
nmap -sP <ip/máscara de nos digan “oye, aquí estoy”)
nmap -sP 192.168.1.0/24
red> en toda la red, pero no
queremos saber mucho
sobre ellos.
Comando para analizar toda
una red o rango en busca de
hosts. Se nos mostrarán los
nmap -F/-f <ip/máscara de
datos del ejemplo anterior y nmap -F 192.168.1.0/24
red>
además el estado de algunos
de sus puertos (los más
comunes).
comando para un Escaneo
nmap -sS -O <IP/máscara> de red completa sigiloso con nmap -sS -O 192.168.1.0/24
detección de SO.

Tabla 2. Scripts con NMAP.

SCRIPTS CON NMAP
Comandos Función
nmap -sV -p 443 --script=ssl-heartbleed <IP> Este script busca ataques de tipo Heartbleed.
Comando para actualizar la base de datos de
nmap --script-updatedb
scripts de Nmap.
locate nse | grep script Comando para visualizar los scripts

16
 disponibles en Kali / Linux.
Comando para visualizar los scripts
nmap --script-help *
disponibles en Windows.
Comando para obtener información sobre un
nmap –script-help=<nombre>
script en concreto disponible en Windows.

7 LOS EXPERTOS EN SEGURIDAD INFORMÁTICA SUELEN UTILIZAR

HERRAMIENTAS, SCRIPTS, Y SISTEMAS OPERATIVOS QUE SEAN
FUNCIONALES A SU ACTIVIDAD

Kali Linux

Es una distribución de Linux basada en Debian destinada a las pruebas de

penetración avanzadas y la auditoría de seguridad, cuenta con la siguiente
información técnica:

 Para configurar Kali Linux como un servidor Secure Shell (SSH) básico sin
escritorio, se requiere tan solo 128 MB de RAM (se recomiendan 512 MB) y
2 GB de espacio en disco.
 Para instalar el escritorio Xfce4 predeterminado y el kali-linux-default, se
requiere al menos 2048 MB de RAM y 20 GB de espacio en disco.
 Se encuentra integrada con Live-Build.
 Permite su instalación con USB en vivo.
 Permite encriptar el disco de forma segura y eficiente.
 Posee una amplia gama de herramientas que permite una configuración
general o muy específica y detallada del sistema.
 Posee árbol de código abierto, todos podemos aportar a su desarrollo.
 Soporta gran cantidad de dispositivos inalámbricos
 Entorno de desarrollo seguro y confiable.
 Soporte multilenguaje.
 Permite ser totalmente personalizado.
 Soporte ARMEL y ARMHF.
 Completamente gratis.

El objetivo principal de este Sistema Operativo es cumplir con los requisitos de las
pruebas de penetración profesionales y la auditoría de seguridad. Esta distribución
de Linux dirigida específicamente a pentester profesionales y especialistas en
seguridad informática, algunas de sus herramientas son:

Tabla 3. Herramientas Kali Linux.

Grupo Herramienta Función
Recopilación de fragroute Intercepta, modifica y

17
 reescribe el tráfico de
información salida destinado a un
host específico.
herramienta de escaneo
Análisis de vulnerabilidad cisco-ocs masivo de Cisco para
encontrar brechas.
Es una herramienta de
descifrado de claves
802.11 WEP y WPA-PSK
que puede recuperar
Ataques inalámbricos Aircrack-ng
claves una vez que se
han capturado
suficientes paquetes de
datos.
Es un escáner de
servidor web de código
abierto (GPL) que realiza
Aplicaciones web Nikto
pruebas exhaustivas
contra servidores web
para varios elementos.

8 ¿QUÉ ES PENTESTING?

Es la abreviación de las palabras inglesas (Penetration Test), también llamado

pruebas de penetración o pruebas de intrusión, es practicada por especialistas en
seguridad informática y consiste en atacar diversos entornos con la intención de
descubrir vulnerabilidades u otros fallos de seguridad que puedan perjudicar a una
organización.

Existen muchas metodologías y guías para el desarrollo de las pruebas de

intrusión, entre ellas están OSINT, OSSTM, ISSAF, PTES, OWASP, NISFT SP
800-115 y algunas más, a continuación, se mencionan los pasos para ejecutar un
pentesting adecuado:

Determinar una auditoria: Es necesario conocer el alcance de las pruebas, el

entorno, información adicional, etc. Esta fase inicia con algo sencillo.

Recolección de información: También se conoce como fase de reconocimiento,

se recopila información sobre el sistema que se pretende atacar, el objetivo es
identificar todo lo que podamos para descubrir fugas de datos servicios, Software,
protocolos, etc. Cuanta más información se tenga más fácil será el desarrollo de
los pasos siguientes.

18
Búsqueda de vulnerabilidades: esta fase también es conocida como análisis de
vulnerabilidades, se encarga de analizar toda la información recolectada
anteriormente para identificar las vulnerabilidades o posibles vectores de ataque y
a partir de dicho análisis se concluye el ataque más efectivo.

Explotación de vulnerabilidades: A partir de los resultados del trabajo que se

desarrolló anteriormente se logra conseguir el acceso a los sistemas de la
organización. Usualmente se ejecutan exploits contra las vulnerabilidades
identificadas o simplemente se hace uso de las credenciales obtenidas para
adquirir el acceso a los sistemas.

Post explotación: En esta fase lo que se intenta es sumergirse más dentro del
sistema vulnerado, es decir conseguir credenciales o permisos de alto nivel
(administrador) o incluso vulnerar otros sistemas de más importancia para la
organización mediante técnicas de pivoting u otras.

Generación de Informe: Es la fase final del pentesting, y con base a los datos
obtenidos por medio de las herramientas y técnicas utilizadas se genera un
informe específico sobre el test de intrusión que se desarrolló en la organización,
dentro de este informe figuran las vulnerabilidades descubiertas, sus alcances e
impactos en el caso que se materialicen, también estarán las posibles medidas de
seguridad que mitiguen dichas vulnerabilidades descubiertas.

9 DEFINIR CON SUS PALABRAS ¿QUÉ ES UN EXPLOIT?, QUÉ UTILIDAD

TIENE EN EL MUNDO DE LA SEGURIDAD INFORMÁTICA? ¿Y QUÉ
COMPONENTES CONFORMAN EL EXPLOIT?

Un exploit es un software con código malicioso diseñado y desarrollado para

aprovechar las vulnerabilidades en seguridad que pueda tener un servicio o
sistema.

Aunque estos exploit les puede permitir a los hackers usarla en su beneficio,
también son de utilidad para los profesionales y especialistas en el mundo de la
seguridad informática que se dedican al desarrollo de detección de
vulnerabilidades en un sistema, con el objetivo de fortalecerlo (Ethical hacking)
para evitar futuros ataques.

El exploit se compone de varias partes programadas en un lenguaje adecuado:

Inicialización: Comandos que permitirán la conexión, autenticación y aceptación
del comando que va a aprovechar la falla.

19
Payload: Es un conjunto de datos que tienen como objetivo ejecutar una acción
concreta y maliciosa en el sistema víctima.
Shellcode: Es el código que permite abrir un sistema para su explotación.
NOP sled: Es el que dice cuál es la siguiente instrucción que se debe ejecutar.

10 TENIENDO EN CUENTA EL ANEXO 3 USTED COMO EXPERTO EN

SEGURIDAD Y AL ANALIZAR EL ATAQUE QUE SUFRIÓ UNADHACK
GENERE UNA SERIE DE RECOMENDACIONES PARA PODER MITIGAR Y
REDUCIR ESTE TIPO DE ATAQUE INFORMÁTICO.

Tras analizar el ataque que sufrió UNADHACK, como experto en seguridad

informática para poder mitigar y reducir este tipo de ataque informático
recomiendo:

 Ejecutar periódicamente las actualizaciones que estén más disponibles

para el Sistema Operativo, así como la versión más actual y robusta del
mismo.
 Utilizar un antivirus y aplicaciones anti-malware con sus respectivas
actualizaciones de base de datos de virus.
 Activar las políticas de seguridad del Firewall que permitan la adecuada
protección en las visitas de páginas web.
 Activar el bloqueo de contenido web mediante las reglas de restricción del
proxy.
 Separación de tareas para que sea menos probable que los usuarios
abusen de sus privilegios y también reduce aún más la superficie de ataque
de cuentas comprometidas.
 Nombramiento de usuarios donde se especifique explícitamente su nombre
para vincularlos a privilegios personalizados para minimizar el riesgo.
 Gestión de cuentas SYSDBA que permita el privilegio administrativo de
acceso sin restricciones a la base de datos solo a dos personas.
 Privilegio mínimo para reducir la superficie de ataque de la BD limitando lo
que un atacante podría hacer incluso si las credenciales están
comprometidas de alguna manera.
 Protección de auditoría ya que con base a los registros de auditoría se
identificarán a los usuarios de riesgos.

20
 11 DEFINIR CON SUS PALABRAS QUÉ ES UN CSIRT, ALCANCE Y TIPOS
DE CSIRT´S

Un CSIRT es un equipo de respuesta a incidentes de ciberseguridad que recibe,

revisa y responde informes de actividades anómalas para luego proponer o brindar
soluciones de prevención o mitigación de daño a una infraestructura tecnológica o
comunidad objetivo.

El alcance de los CSIRT´s es ofrecer servicios desde una perspectiva reactiva y

proactiva además de gestionar incidentes y vulnerabilidades detectadas de
ciberseguridad.

Son muchos los tipos de CSIRT´s que existen alrededor del mundo y varían según
su misión, alcance, tecnología y servicios. Pero se pueden agrupar de acuerdo a
la comunidad o sector al que prestan sus servicios como por ejemplo los
académicos, comerciales, de infraestructuras críticas, gubernamentales, militares,
para Pymes, Centros de Coordinación Nacional, etc.

Se puede usar como referencia el documento de Rodríguez et al. Evaluar

Procesos, metodologías y herramientas enfocadas a la seguridad informática 7
para identificar los CSIRT´s “Computer Security Incident Response Team”
establecidos en Colombia mencionando si es sectorial o privado con su respectiva
descripción del objetivo de cada uno.

12 VIDEO DEL DESARROLLO DE LOS PUNTOS SELECCIONADOS

Link: https://www.youtube.com/watch?v=aWLYmspjkco&feature=youtu.be

7
RODRÍGUEZ GARRIDO, Liyis Tatiana, et al. Tarea 2 - Evaluar Procesos, metodologías y
herramientas enfocadas a la seguridad informática [En línea]. Especialista en seguridad
informática. Lugar de publicación: UNIVERSIDAD NACIONAL ABIERTA Y A DISTANCIA – UNAD.
ESCUELA DE CIENCIAS BASICAS, TECNOLOGIA E INGENIERIA - ECBTI. 2020. 22 p.
[Consultado: 21 de noviembre de 2020]. Disponible en:
https://es.scribd.com/document/429375980/Trabajo-final.

21
 CONCLUSIONES

Con del desarrollo de este trabajo se puede concluir que como profesionales y
especialistas en seguridad informática se deben tener presente los conceptos y
definiciones sobre las herramientas y procesos de ciberseguridad que nos
permitirán la mitigación de accesos a nuestras redes informáticas.

También la importancia del desarrollo de casos de estudio que nos permiten

visualizar las clases de ciberataques a los que nos podemos enfrentar asi como
las técnicas y equipos de respuesta a incidentes de ciberseguridad CSIRT´s que
podemos utilizar para la mitigación de estos.

22
 BIBLIOGRAFIA

ASUS. ASUS informa sobre el ataque de la herramienta de actualización por parte

de grupos de amenazas persistentes avanzadas (APT) [Sitio web]. Mexico: ASUS.
26 de marzo de 2019. [Consultado: 1 de noviembre de 2020]. Disponible en:
https://www.asus.com/mx/News/uEpBfrfzfZpFNlv8.

ESET. welivesecurity: Okrum: un backdoor del grupo Ke3chang utilizado para

atacar misiones diplomáticas [Sitio web]. Eset. 18 julio 2019. [Consultado: 1 de
noviembre de 2020]. Disponible en: https://www.welivesecurity.com/la-
es/2019/07/18/okrum-backdoor-grupo-ke3chang-utilizado-atacar-misiones-
diplomaticas/.

INFOBAE. Microsoft advirtió que un grupo de hackers vinculado a la inteligencia

rusa está interfiriendo con las elecciones en Europa [Sitio web]. Infobae. 21 de
febrero de 2019. [Consultado: 1 de noviembre de 2020]. Disponible en:
https://www.infobae.com/america/mundo/2019/02/21/microsoft-advirtio-que-un-
grupo-de-hackers-vinculado-a-la-inteligencia-rusa-esta-interfiriendo-con-las-
elecciones-en-europa/.

IoCs & IoAs: La inteligencia de las amenazas para la gestión de incidentes [blog].
Digiware. Bogotá. 17 de junio, 2. [Consultado: 10 de noviembre de 2020].
Disponible en: https://www.digiware.net/post/iocs-ioas-la-inteligencia-de-las-
amenazas-para-la-gestion-de-incidentes.

PANDA SECURITY. GOd vs. Alemania: ¿Cómo puede un cibercriminal amateur

hacer temblar a todo un país? [Sitio web]. Panda mediacenter. 9 de abril de 2019.
[Consultado: 1 de noviembre de 2020]. Disponible en:
https://www.pandasecurity.com/es/mediacenter/seguridad/god-vs-alemania-
cibercriminal-amateur/.

PROTEGERMIPC.NET. Tutorial y listado de comandos más útiles para Nmap:

Listado de comandos de NMAP comunes [Sitio web]. Madrid. 7 de noviembre de
2018. [Consultado: 12 de noviembre de 2020]. Disponible en:
https://protegermipc.net/2018/11/07/tutorial-y-listado-de-comandos-mas-utiles-
para-nmap/.

RODRÍGUEZ GARRIDO, Liyis Tatiana, et al. Tarea 2 - Evaluar Procesos,

metodologías y herramientas enfocadas a la seguridad informática [En línea].
Especialista en seguridad informática. Lugar de publicación: UNIVERSIDAD
NACIONAL ABIERTA Y A DISTANCIA – UNAD. ESCUELA DE CIENCIAS
BASICAS, TECNOLOGIA E INGENIERIA - ECBTI. 2020. 22 p. [Consultado: 21 de
noviembre de 2020]. Disponible en:
https://es.scribd.com/document/429375980/Trabajo-final.

23