Curso

Introductorio Seguridad en redes TCP/IP

de Seguridad
Autor: · Ataques dirigidos a las características de los
Ernesto Pérez Estévez
protocolos
· Ataques dirigidos a las implementaciones de los
MODULO 1.
protocolos
· Descripción de estos ataques
MODULO 2.
· Formas de ataques
MODULO 3.

MODULO 4.

MODULO 5.

MODULO 6.

MODULO 7.

MODULO 8.

MODULO 9.

MODULO 10.

MODULO 11.

MODULO 12.
Curso
Introductorio
de Seguridad
Autor:
6.
Ernesto Pérez Estévez
Hasta ahora se ha hablado de importantísimos temas de se-
MODULO 1. guridad en las organizaciones. Ahora se profundizará en pro-
MODULO 2.
blemas de seguridad específicos en las redes actuales con
la finalidad de tener amplio conocimiento de qué nos puede
MODULO 3. afectar y cómo podemos protegernos de estos problemas.

MODULO 4. En este capítulo se examinarán varias de las diversas formas

que tienen los atacantes de obtener información o de afec-
MODULO 5.
tar la disponibilidad de los sistemas.
MODULO 6.
Seguridad Existen muchos ataques, algunos orientados a aprovechar
en redes TCP/IP características (o la falta de determinadas características) de
protocolos como TCP, UDP, IP, ICMP, etc., o incluso de pro-
MODULO 7. tocolos de más alto nivel, como ataques que aprovechan los
MODULO 8.
sistema de DNS, HTTP, SMTP, etcétera.

MODULO 9. Los ataques pueden afectar a cualquier equipo que haga uso
de estos protocolos. Para ser claros: ¿qué equipo informático
MODULO 10. no viene preparado para conectarse a Internet y utilizar es-
tos protocolos? Prácticamente ninguno: celulares, routers,
MODULO 11.
switches, PC, laptops, cámaras, routers Wi-Fi, etc., vienen
MODULO 12. configurados para conectarse a Internet.
Curso También hay otros ataques que aprovechan falencias en
Introductorio la implementación de estos protocolos, como por ejemplo,
de Seguridad en la implementación del protocolo TCP/IP por parte de un
fabricante como CISCO, Microsoft, Apple, Linux, etc. Estos
Autor:
Ernesto Pérez Estévez ataques no dejan de ser muy dañinos y casi siempre los ata-
cantes buscan estas falencias en la implementación donde
MODULO 1. hay mayor concentración de usuarios. Por poner un ejem-
plo: quizás sea mucho más efectivo explotar una falla en la
MODULO 2. implementación del stack TCP/IP en Microsoft Windows que
en equipos Linux. ¿Por qué? Porque en el mercado hay una
MODULO 3.
proporción mucho mayor de equipamiento que usa Windows
MODULO 4. y por tanto explotar esta falla le dará más réditos al atacante.

MODULO 5. Estos ataques pueden hacer daño masivo a todos los usua-
rios de un sistema, pero también pueden ser utilizados para
MODULO 6.
robar información específica de una organización: un ataque
Seguridad
en redes TCP/IP cuidadosamente planificado puede confundir a los sistemas
(y a los usuarios) y lograr obtener información confidencial.
MODULO 7. Algunos ataques no persiguen robar información, sino sim-
plemente utilizar los recursos de red para atacar a terceros
MODULO 8. o consumir un canal de Internet de forma tal que afecta su
disponibilidad. O sea, se nos vuelve imposible —o a nuestros
MODULO 9.
usuarios— realizar nuestras labores apropiadamente, pues
MODULO 10. nos estarán ocupando innecesariamente el ancho de banda
disponible en un canal.
MODULO 11.

MODULO 12.
Curso Ataques dirigidos a características de los protocolos de
Introductorio TCP/IP:
de Seguridad
Escaneo de puertos
Autor:
Ernesto Pérez Estévez
• Sniffers
MODULO 1. • Source routing
• DOS
MODULO 2. • DDOS
• Spoofing
MODULO 3.
• Email spoofing
MODULO 4. • IP Spoofing
• SYN flooding
MODULO 5. • Smurfing
• Botnets
MODULO 6.
Seguridad
en redes TCP/IP
Ataques dirigidos a las implementaciones de estos pro-
MODULO 7. tocolos por parte de un fabricante:

MODULO 8. Ping de la muerte

MODULO 9.
• Teardrop
MODULO 10. • Land
• HTTP (slowloris, etc.)
MODULO 11. • Ataques a UDP: snmp, ntp, dns, portmapper, etcétera.
MODULO 12.
Curso 2. Descripción de los ataques
Introductorio
de Seguridad Se analizarán a continuación cada uno de estos ataques
en detalle.
Autor:
Ernesto Pérez Estévez
Dentro de los ataques dirigidos a las características que
MODULO 1. brindan los protocolos TCP/IP hay:

MODULO 2. 1. Escaneo de puertos

MODULO 3.
Es algo muy simple pero útil para un atacante. Que se es-
MODULO 4. caneen los puertos de una IP no significa necesariamente
que esté ocurriendo un ataque. Como administradores y
MODULO 5. usuarios de nuestra red, tenemos el derecho de escanear
la red o una máquina específica de la red.
MODULO 6.
Seguridad
en redes TCP/IP Escanear no es más que revisar si uno o varios de los
puertos de una dirección están abiertos: por cada IP hay
MODULO 7. 2^16 puertos disponibles, 65.536 puertos que van del 0 al
65535, como ya se había visto.
MODULO 8.
Si un puerto está abierto, responderá con un mensa-
MODULO 9.
je de ACK (ver imagen) y alguna información, y nos dará
MODULO 10. una idea de que tenemos un servicio escuchando en ese
puerto. Por ejemplo, si queremos conocer si una determi-
MODULO 11. nada IP tiene un servidor web ejecutándose, ¿cómo hace-
mos? Consultamos a esta IP por sus puertos abiertos. Si el
MODULO 12.
puerto 80/TCP está abierto, existe una enorme posibilidad
Curso de que haya un servidor web instalado y corriendo en esa
Introductorio máquina, pues el puerto 80/TCP es atendido por servido-
de Seguridad res web. Si el puerto está cerrado, el equipo que estamos
escaneando devolverá un mensaje de Reset (RST) que
Autor:
Ernesto Pérez Estévez indica que no quiere establecer la conexión, no tiene nada
que ofrecer respecto a este puerto que está cerrado.
MODULO 1.

MODULO 2.

MODULO 3.

MODULO 4.

MODULO 5.

MODULO 6. SYN 1 SYN 1

Seguridad
en redes TCP/IP
1
ACK I + KI+1
SYN J, RST, AC
MODULO 7.
ACK J +
MODULO 8. 1

MODULO 9.

MODULO 10.
Es una de las primeras actividades que un atacante desa-
MODULO 11. rrolla si quiere hacer algo con o contra una red, porque le
permitirá conocer qué puertos tiene abiertos el sistema y
MODULO 12.
planificar un ataque a los servicios que corren en él.
Curso Nmap
Introductorio
de Seguridad Existen muchas herramientas para realizar escaneos a
las redes. Una de ellas, muy conocida y útil, es nmap. Se
Autor:
Ernesto Pérez Estévez la conoce como la cuchilla suiza de las redes, pues brinda
una enorme cantidad de posibilidades para sus usuarios.
MODULO 1.
En la siguiente imagen se ve cómo se puede averiguar si
MODULO 2. una IP (que es la IP del sitio web de Lacnic www.lacnic.
net), tiene o no abierto el puerto 80:
MODULO 3.

MODULO 4.

MODULO 5.

MODULO 6.
Seguridad
en redes TCP/IP

MODULO 7.

MODULO 8.

MODULO 9.
Debe notarse una serie de cosas:
MODULO 10.
1. Se le puede hacer nmap a una IP o a un nombre (se podría
MODULO 11. haber hecho nmap a www.lacnic.net, pero se hizo a la IP).
MODULO 12.
Curso 2. En este caso se escogió escanear solamente el puerto
Introductorio 80/TCP de la IP (nmap -p80 200.3.14.184), pero se podrían
de Seguridad haber escaneado todos los puertos, por ejemplo:
Autor:
Ernesto Pérez Estévez

MODULO 1.

MODULO 2.

MODULO 3.

MODULO 4.

MODULO 5.

MODULO 6.
Seguridad
en redes TCP/IP

MODULO 7.

MODULO 8.

MODULO 9.
En el caso anterior notemos:
MODULO 10.

MODULO 11. 1. Se escogió escanear por el nombre (www.lacnic.net) y

de las dos IP (IPv4 e IPv6) que ofrecía LACNIC, el sistema
MODULO 12. optó por IPv4 e ignoró (no escaneó) IPv6.
Curso 2. No se restringió al puerto 80/TCP (-p 80 que tenía an-
Introductorio tes). Lo que le permitió encontrar otros puertos supuesta-
de Seguridad mente abiertos en esta IP (por ejemplo, SMTP, DNS, HTTP,
HTTPS, SIP, etcétera).
Autor:
Ernesto Pérez Estévez
Incluso se le puede pedir al nmap que intente adivinar
MODULO 1. qué servicios están corriendo en estos puertos, así como
su versión:
MODULO 2.

MODULO 3.

MODULO 4.

MODULO 5.

MODULO 6.
Seguridad
en redes TCP/IP

MODULO 7.

MODULO 8.

MODULO 9.

MODULO 10.

MODULO 11.

MODULO 12.
Curso Notemos:
Introductorio
de Seguridad 1. Volvió a escanearse nada más que el puerto 80 (-p80).
Quizás no se buscaba conocer nada más de otros puertos
Autor:
Ernesto Pérez Estévez y el interés era sobre el 80.

MODULO 1. 2. Se usó la bandera (flag) -A: esta bandera permite, como

se puede ver, averiguar información que brinda el servicio.
MODULO 2. En este caso, informa que en el puerto 80/TCP corre un
Apache Tomcat/Coyote JSP engine 1.1. Esto es muy útil
MODULO 3.
para el administrador, pues le permite cerciorarse de que
MODULO 4. está corriendo el servidor web que se necesita y no otro.

MODULO 5. En resumen, el nmap no es la única herramienta para es-

canear sistemas, existen otras. No es exclusiva para ha-
MODULO 6.
cer daño; de hecho, como administradores legítimos de la
Seguridad
en redes TCP/IP red se puede usar para determinar si un puerto está o no
abierto en la red o qué puertos están abiertos en los equi-
MODULO 7. pos de la red. Esto puede ser muy útil en la labor diaria,
por ejemplo, para conocer qué puertos están abiertos de
MODULO 8. más y poder trabajar para cerrarlos.
MODULO 9.
Medidas contra el mapeo de puertos
MODULO 10.
En realidad, no se puede tomar casi ninguna medida,
MODULO 11. pues conectarse a un puerto es algo totalmente válido.
Claro que es válido conectarse a uno o varios puertos,
MODULO 12.
Curso pero no intentar conectarse a todos los puertos de una
Introductorio IP o a muchos de los puertos de una IP.
de Seguridad
Se han propuesto medidas, como por ejemplo que si al-
Autor:
Ernesto Pérez Estévez guien comienza a escanear un puerto a la vez, nos daremos
cuenta y le podremos demorar las respuestas de forma que
MODULO 1. el proceso se le vuelva muy lento. Incluso podríamos blo-
quear a la persona y dejar de enviarle respuestas.
MODULO 2.
Si bien esta solución parece buena, puede afectarnos si un
MODULO 3.
día necesitáramos escanear la red, pues el sistema nos blo-
MODULO 4. queará también. Además, los atacantes pueden darse cuen-
ta y proceder a escanear lentamente. Tan lento como sea
MODULO 5. necesario, por ejemplo, al revisar un puerto por minuto o un
puerto por hora. O simplemente revisar un puerto al día.
MODULO 6.
Seguridad
en redes TCP/IP Lo mejor para protegerse de un ataque de escaneo es no
preocuparse por ocultar o bloquear supuestos escaneos.
MODULO 7. Lo más saludable es tener expuestos el mínimo de ser-
vicios a Internet: solamente los necesarios. Un firewall
MODULO 8. puede ayudar en la tarea, además de que los servicios
expuestos estén actualizados y protegidos contra poten-
MODULO 9.
ciales ataques.
MODULO 10.
2. Sniffers
MODULO 11.
Sniff es el hecho de ‘rastrear’ o, como se dice en español,
MODULO 12.
‘escuchar’ el tráfico que circula por una red.
Curso Los sniffers se aprovechan de que gran parte del tráfico
Introductorio TCP/IP que circula en las redes viaja en texto claro, de
de Seguridad modo que lo que el sniffer capture (escuche) podrá ser
interpretado por un interesado.
Autor:
Ernesto Pérez Estévez
La presencia de un sniffer no es síntoma de actividad ma-
MODULO 1. liciosa: muchas veces los sniffers se utilizan para determi-
nar si está ocurriendo un determinado patrón de tráfico, si
MODULO 2. está llegando cierto tipo de tráfico a un destino tal y como
se necesita, etcétera.
MODULO 3.

MODULO 4. Hay diversos tipos de sniffers, desde los conocidos como

tcpdump (uno de los más populares), cuyo propósito inicial
MODULO 5. es «vaciar» o «verter» (por eso dump) los contenidos que
ve circular en una tarjeta de red, pasando por otros como el
MODULO 6.
WireShark, que tiene una interfaz gráfica bien completa, o
Seguridad
en redes TCP/IP el ettercap, hasta llegar a sniffers dedicados a analizar cier-
to tipo de tráfico, como el aircrack-ng, que escanea tráfico
MODULO 7. de Wi-Fi, o el httpry, que escanea tráfico HTTP.

MODULO 8. Cómo funciona un sniffer

MODULO 9.
Se mostrará cómo funciona ettercap en modo de escucha
MODULO 10. en Linux. Existen binarios para Windows, por ejemplo:

MODULO 11. https://sourceforge.net/projects/ettercap/files/unofficial%20binaries/windows/

MODULO 12.
Curso Al iniciar presiono ctrl-U y selecciono la interfaz de red.
Introductorio En este caso la interfaz de red donde pondré a ettercap a
de Seguridad escuchar es enp0s25.
Autor:
Ernesto Pérez Estévez

MODULO 1.

MODULO 2.

MODULO 3.

MODULO 4.

MODULO 5.

MODULO 6.
Seguridad
en redes TCP/IP Ettercap mostrará inicialmente decenas o cientos de co-
nexiones de todo tipo que estamos realizando. Para mayor
MODULO 7. comodidad filtraré para que muestre solo lo que ocurre
hacia o desde una IP: 64.13.139.230.
MODULO 8.

MODULO 9.
¿De dónde sale esta IP? Esta IP se obtuvo de un servidor
de Telnet, telehack.com (http://telehack.com/telehack.
MODULO 10. html). Telnet es un protocolo que se conecta al puerto 23/
TCP enviando y recibiendo toda la información en texto
MODULO 11. claro. Esto es: todo podrá ser «escuchado», lo que es ideal
para un sniffer.
MODULO 12.
Curso
Introductorio
de Seguridad
Autor:
Ernesto Pérez Estévez

MODULO 1.

MODULO 2.

MODULO 3.

MODULO 4.

MODULO 5.
Ahora interactuaré con el servidor de Telnet de telehack.
MODULO 6.
Seguridad com desde mi línea de comando y escribo el comando
en redes TCP/IP «eliza» dentro de este servidor. Es una ayuda psicotera-
péutica en línea, me hará preguntas y esperará mis res-
MODULO 7. puestas, etc. Al regresar al ettercap se mostrará lo que yo
le decía a mi psicoterapeuta.
MODULO 8.

MODULO 9. En la imagen siguiente, me conecto a telehack.com, es-

cribo «eliza» y ella comienza a escribirme en mayúsculas,
MODULO 10. mientras mis respuestas están en minúsculas. Noten lo
que escribo al final: «Everything I write here could be sni-
MODULO 11. ffed by a third party as we use clear text communication».
MODULO 12.
Curso
Introductorio
de Seguridad
Autor:
Ernesto Pérez Estévez

MODULO 1.

MODULO 2.

MODULO 3.

MODULO 4.

MODULO 5.

MODULO 6. De regreso al ettercap, ¿este habrá capturado lo que yo

Seguridad escribí? Como podemos notar, existe una línea, un resu-
en redes TCP/IP men de mi comunicación, desde mi IP y puerto 60570,
hasta la IP de telehack (64.13.139.230) y el puerto 23.
MODULO 7.

MODULO 8.

MODULO 9.

MODULO 10.

MODULO 11.

MODULO 12.
Curso
Introductorio
de Seguridad
Autor:
Ernesto Pérez Estévez

MODULO 1.

MODULO 2.

MODULO 3.

MODULO 4.

MODULO 5.

MODULO 6.
Seguridad
en redes TCP/IP

MODULO 7. Procedo a hacer doble clic sobre esa línea para obtener un
detalle y se puede observar mi comunicación con eliza, mi
MODULO 8. psicoterapeuta. Sobre la derecha se ven unos signos como
o [K [K, porque el sniffer guarda todo, incluso cuando yo
MODULO 9. presioné «backspace» (por eso el [K[K…).
MODULO 10.

MODULO 11.

MODULO 12.
Curso
Introductorio
de Seguridad
Autor:
Ernesto Pérez Estévez

MODULO 1.

MODULO 2. Como se puede ver, es relativamente fácil sniffear una

MODULO 3. comunicación.

MODULO 4. ¿Qué medidas podemos tomar contra sniffers?

MODULO 5. Como se indicaba anteriormente, el uso de sniffers no es

malo en sí, ya que puede utilizarse para validar si está lle-
MODULO 6.
gando a su destino la información en el formato necesario
Seguridad
en redes TCP/IP o en el momento adecuado, etcétera.

MODULO 7. Los sniffers aprovechan que el protocolo TCP/IP fue con-

cebido inicialmente sin prever la necesidad de encriptar
MODULO 8. el canal, por lo que todas las comunicaciones inicialmente
MODULO 9. viajaban en texto claro.

MODULO 10. La forma más apropiada de protegernos contra sniffers no

es bloquearlos, sino tomar medidas para evitar que ante un
MODULO 11. intento de escucha ilegal, la información pueda ser leída
fácilmente. Esto es: se debe transmitir toda la información
MODULO 12.
sensible utilizando métodos de cifrado. Al encriptar toda
Curso la información se evita que un escucha pueda leerla. El si-
Introductorio guiente caso es el de una conexión SSH realizada hacia un
de Seguridad servidor. Se puede ver cómo me conecto por SSH. Las cone-
xiones de SSH son cifradas. Vean el resultado en el ettercap.
Autor:
Ernesto Pérez Estévez

MODULO 1.

MODULO 2.

MODULO 3.
Como se puede ver, no hay texto legible en el resultado
MODULO 4.
de ettercap:
MODULO 5.

MODULO 6.
Seguridad
en redes TCP/IP

MODULO 7.

MODULO 8.

MODULO 9.

MODULO 10.

MODULO 11.

MODULO 12.
Curso 3. Source Routing
Introductorio
de Seguridad Actualmente en Internet no es necesario utilizar esta op-
ción. Source routing es que el equipo que origina un pa-
Autor:
Ernesto Pérez Estévez quete pueda indicar por qué ruta específica debe pasar y se
usaba antiguamente para lograr cierta fiabilidad en la red.
MODULO 1.
Por ejemplo, si un router tenía problemas de pérdida de
MODULO 2. paquetes, el host de origen podía especificar la ruta por la
cual debía pasar. Como se puede ver en la primera imagen,
MODULO 3.
R3 tiene un problema y es el camino más corto para llegar
MODULO 4. de A a B.

MODULO 5.

MODULO 6.
Seguridad
en redes TCP/IP

MODULO 7.
A R1 R3
MODULO 8.

MODULO 9.
B
MODULO 10.
R2 R4
MODULO 11.

MODULO 12.
Curso ¿Qué permite el source routing? Que se puedan mover los
Introductorio paquetes a través de un camino alternativo, en este caso,
de Seguridad al R3: A->R1->R2->R4->B.
Autor:
Ernesto Pérez Estévez

MODULO 1.

MODULO 2.
A R1 R3
MODULO 3.

MODULO 4.

MODULO 5.
R2 R4 B

MODULO 6.
Seguridad
en redes TCP/IP
Es un camino más largo, pero funciona. Sin embargo, en
MODULO 7. la actualidad no es necesario especificar el source rou-
ting, pues los proveedores de Internet en seguida que de-
MODULO 8. tectan un problema en un router, toman medidas activas
MODULO 9. para corregirlo.

MODULO 10. Sin embargo, el source routing tiene inconvenientes, como

puede verse en el siguiente escenario. El atacante será A y
MODULO 11. el servidor protegido será B. Existe un firewall en R3, por lo
MODULO 12.
que un intento de ataque de A a B se vería bloqueado.
Curso
Introductorio
de Seguridad
A R1 FW R3
Autor:
Ernesto Pérez Estévez

MODULO 1.

MODULO 2. R2 R4 B

MODULO 3.

MODULO 4.
¿Y si el atacante usa source routing? Se podría esca-
MODULO 5. par evadiendo el firewall si utiliza el camino alternativo
A->R2->R4->B
MODULO 6.
Seguridad
en redes TCP/IP

MODULO 7.

MODULO 8.
A R1 FW R3

MODULO 9.

MODULO 10.

MODULO 11.
R2 R4 B
MODULO 12.
Curso Medidas para evitar source routing
Introductorio
de Seguridad En cada sistema operativo existen formas de bloquear el
source routing. Normalmente, esto es útil en equipos ru-
Autor:
Ernesto Pérez Estévez teadores con la finalidad de que no se les pueda ordenar
otra acción que la preconfigurada.
MODULO 1.
En Linux se puede poner en 0 el parámetro del kernel «ac-
MODULO 2. cept_source_route»:
“accept_source_route”
MODULO 3.
/sbin/sysctl -w net.ipv4.conf.all.accept_source_route=0
MODULO 4.
En el caso de CISCO se puede configurar no source routing
MODULO 5. device # configure terminal
device(config)# no ip source-route
MODULO 6.
Seguridad Ataques de denegación de servicio (DoS)
en redes TCP/IP
Del inglés Denial of Service (DOS), este ataque depende
MODULO 7.
exclusivamente de poder aprovechar fallas que existen
MODULO 8. en un sistema y de algo muy simple: transmitirle requeri-
mientos al equipo atacado de forma tal que este deje de
MODULO 9. servir, deje de ofrecer el servicio. Es por ello que se lla-
ma denegación (negación) de servicio, pues busca que el
MODULO 10.
equipo atacado no pueda dar servicio a los clientes, afec-
MODULO 11. tando la disponibilidad de la tríada CIA (A, availability)

MODULO 12.
Curso Estos ataques pueden hacerse de la siguiente forma:
Introductorio
de Seguridad · Aprovechando una falla de seguridad que haga que el
servicio deje de funcionar, por ejemplo, el ping de la muer-
Autor:
Ernesto Pérez Estévez te, que es un tipo de ataque que aprovecha que a ciertas
versiones de algunos sistemas operativos, si les enviamos
MODULO 1. un paquete icmp-echo mayor a 64 kb, al reensamblarlo
una falla en la programación provoca un desbordamiento
MODULO 2. de buffer y el equipo deja de responder.
MODULO 3.
· Aprovechando una característica del servicio que se
MODULO 4. ofrece para agotar sus recursos, por ejemplo: los servido-
res web basados en hilos (del inglés: threaded) tienen que
MODULO 5. esperar a recibir el encabezado completo de una petición
antes de liberar la conexión. Mientras tanto, esta conexión
MODULO 6.
está ocupando recursos (RAM, puertos TCP, etc.). Si se le
Seguridad
en redes TCP/IP envía un número alto de peticiones y se le va entregando
lentamente el encabezado, el servidor terminará por ago-
MODULO 7. tar sus recursos y dejará de responder.

MODULO 8. · Aprovechando una limitación que se tiene en el acceso al

servicio, por ejemplo: Digamos que nuestro servidor tie-
MODULO 9.
ne una conexión a Internet de 10 mbps. Un atacante que
MODULO 10. controle un equipo que tenga 100 mbps para conectarse
a Internet puede comenzar a enviar paquetes (o a solici-
MODULO 11. tar paquetes) hacia/desde nuestro servidor de forma tal
que llenará los 10 mbps del canal. Este tipo de ataque se
MODULO 12.
conoce como inundación (flooding). El atacante no sufrirá
Curso mayormente pues tiene en el canal un ancho de banda de
Introductorio 100 mbps y para afectar nuestro servicio destina 10 mbps
de Seguridad de estos 100 mbps, pues nuestro servidor con 10 mbps de
tráfico se llenará.
Autor:
Ernesto Pérez Estévez

MODULO 1.
100mbps 10mbps
MODULO 2.

MODULO 3.
Atacante Server
MODULO 4. 100mbps 10mbps

MODULO 5.

MODULO 6. Cómo protegerse del DoS

Seguridad
en redes TCP/IP
Existen varias opciones:
MODULO 7.
1. 1. Mantener el sistema operativo, las aplicaciones y los
MODULO 8. servicios actualizados. De esta forma una falla conocida
en ellos no podrá ser aprovechada.
MODULO 9.

MODULO 10. 2. Revisar e imponer tiempos máximos de conexión, por

ejemplo, en el caso de servidores web, puede indicársele al
MODULO 11. servidor que cierre la conexión luego de transcurridos algu-
nos segundos. Por defecto, el servidor Apache está confi-
MODULO 12.
gurado para cerrar la conexión transcurridos 300 segundos
Curso (5 minutos), pero es mucho tiempo. ¿Cuántas conexiones
Introductorio adicionales no se abrirán hasta dejar de responder en 5
de Seguridad minutos? Es mejor disminuir el tiempo a un valor de 30 se-
gundos, por ejemplo.
Autor:
Ernesto Pérez Estévez
3. En el caso de las inundaciones, lo más acertado es traba-
MODULO 1. jar con el proveedor de Internet para que de su lado pueda
poner un límite a esta inundación de paquetes de forma
MODULO 2. que no se nos llene el canal por un ataque de este tipo.
MODULO 3.

MODULO 4.

MODULO 5. 100mbps 10mbps

MODULO 6.
Seguridad Atacante Server
en redes TCP/IP 100mbps 10mbps

MODULO 7.

MODULO 8.

MODULO 9.
Distributed DoS

MODULO 10. El DDOS es similar al DOS, pero en esta ocasión el ataque

proviene de muchas fuentes, de muchas vías. Por eso se
MODULO 11. llama distribuido.
MODULO 12.
Veamos la última imagen pero ahora en forma distribuida:
Curso
Introductorio
de Seguridad Atacante
5mbps
Autor:
Ernesto Pérez Estévez
5mbps
MODULO 1.

MODULO 2.
10mbps 10mbps
MODULO 3.

MODULO 4. Atacante Server

5mbps 10mbps
MODULO 5. 5mbps

MODULO 6.
Seguridad
en redes TCP/IP

MODULO 7. Atacante
5mbps
MODULO 8.

MODULO 9.
En este caso no hay un atacante con mucho ancho de
MODULO 10. banda, sino varios atacantes con un ancho de banda más
pequeño que el nuestro. Sin embargo, si todos envían al
MODULO 11. mismo tiempo solicitudes a nuestro servidor, pueden lle-
nar cómodamente los 10 mbps (ellos son tres y tienen 5
MODULO 12.
mbps cada uno, totalizando 15 mbps).
Curso Estos ataques de DDOS son los más populares en la ac-
Introductorio tualidad, pues son muy difíciles de prevenir. Ya no basta
de Seguridad con bloquear a un atacante en el ISP, sino que el ISP ten-
drá que dedicarse a bloquear decenas, centenares o miles
Autor:
Ernesto Pérez Estévez de atacantes que intentarán llegar a nuestros equipos.

MODULO 1. Las imágenes se presentaron a modo de ejemplo y con

valores bien moderados (5 mbps, tres atacantes), pero
MODULO 2. en realidad se están dando al momento ataques no de
15 mbps, sino de varios centenares de gbps e incluso se
MODULO 3.
prevé que los ataques ya comiencen a superar la frontera
MODULO 4. de los tbps (terabits por segundo). Para lograr estos gi-
gantescos ataques no se buscan tres o cuatro máquinas
MODULO 5. en Internet, sino varias decenas de miles o centenares de
miles de máquinas que actúan coordinadamente.
MODULO 6.
Seguridad
en redes TCP/IP

MODULO 7.

MODULO 8.

MODULO 9.

MODULO 10.

MODULO 11.

MODULO 12.
Curso Syn Flooding
Introductorio Una variante de DDOS y de DOS es la conocida como SYN
de Seguridad flooding. SYN es el paquete inicial que se envía cuando se
Autor: abre una conexión. El proceso normal es el siguiente:
Ernesto Pérez Estévez

MODULO 1.

MODULO 2.
SYN
MODULO 3.

MODULO 4.

MODULO 5. A CK
SYN

MODULO 6.
Seguridad
en redes TCP/IP
ACK
MODULO 7.

MODULO 8.

MODULO 9.

MODULO 10. · El servidor recibe la petición SYN.

MODULO 11. · Reserva recursos para esta conexión y confirma al cliente
MODULO 12. (SYN-ACK).
Curso · El cliente confirma que recibió la confirmación de servidor
Introductorio (ACK).
de Seguridad
· Comienza a enviar datos.
Autor:
Ernesto Pérez Estévez
Al final el cliente hace un proceso de cierre de esta sesión.
MODULO 1.
Ahora, ¿qué pasa si se queda todo en el segundo punto?
MODULO 2.
· El servidor recibe la petición SYN.
MODULO 3.

MODULO 4. · Reserva recursos para esta conexión y confirma al cliente

(SYN-ACK).
MODULO 5.
La sesión se queda «medio abierta», pues el cliente nunca
MODULO 6.
confirmará (ACK) y nunca enviará sus datos, de modo que
Seguridad
en redes TCP/IP el servidor queda a la espera de la respuesta del cliente,
con recursos reservados inútilmente.
MODULO 7.
Si un atacante comienza a repetir esta acción cientos o
MODULO 8. miles de veces, eventualmente dejará sin recursos al ser-
vidor para atender nuevas conexiones, conexiones que
MODULO 9.
seguramente serían legítimas, pero ya no tendría recur-
MODULO 10. sos, le inundaron de SYN:

MODULO 11.

MODULO 12.
Curso
Introductorio
de Seguridad SYN
Autor:
Ernesto Pérez Estévez

MODULO 1.

MODULO 2.

MODULO 3.
ACK
SYN
MODULO 4.

MODULO 5.

MODULO 6.
Seguridad
en redes TCP/IP

MODULO 7. SYN

MODULO 8.

MODULO 9.

MODULO 10.

MODULO 11.

MODULO 12.
Curso Otra variante de DDOS es el ataque de smurfing, que con-
Introductorio siste en enviar una gran cantidad de paquetes de ICMP
de Seguridad a una dirección de broadcast de una red. Se supone que
todo lo que llegue a la dirección de broadcast de una red
Autor:
Ernesto Pérez Estévez IPv4 es reenviado a toda la red. La dirección de broadcast
es la última dirección en una red.
MODULO 1.
Por ejemplo:
MODULO 2. 200.45.225.0/24
MODULO 3.
Su dirección de red es la primera:
MODULO 4. 200.45.225.0

MODULO 5. Su dirección de Broadcast es la última:

200.45.225.255
MODULO 6.
Seguridad
en redes TCP/IP Si alguien envía paquetes ICMP, por ejemplo icmp-echo
(ping) a la dirección de broadcast, este paquete será re-
MODULO 7. plicado a todos los equipos presentes en esa red. Se envía
un paquete y se replica a decenas, quizás cientos de equi-
MODULO 8. pos, lo que implica que suceda un buen ataque de nega-
ción de servicio.
MODULO 9.

MODULO 10. Todo sistema debe ser configurado para evitar que se en-
víen paquetes de icmp a la dirección de broadcast. Princi-
MODULO 11. palmente, los routers deben ser configurados con el icmp
broadcast desactivado. Por ejemplo, en CISCO se puede
MODULO 12.
usar el parámetro no ip directed-broadcast.
Curso Spoofing
Introductorio
de Seguridad Spoofing es una palabra bastante curiosa y significa algo
similar a ‘impersonar’, como ‘tratar de hacerse pasar por
Autor:
Ernesto Pérez Estévez alguien’. Su objetivo es confundir al equipo o persona ata-
cada con la finalidad de lograr que envíe información al
MODULO 1. atacante pensando que está enviándole información (o
recibiéndola) del legítimo interlocutor.
MODULO 2.
¿A quién no le ha pasado? Son conocidas las historias
MODULO 3.
sobre personas que se acercan alguien pretendiendo ser
MODULO 4. de una empresa eléctrica, de una institución del gobierno,
de un banco o algún tipo de organización reconocida para
MODULO 5. tratar de entrar en la casa o empresa con fines poco claros
(robar o hacer análisis previos a un robo, etcétera).
MODULO 6.
Seguridad
en redes TCP/IP Esto ocurre porque en el protocolo TCP/IP no se desarro-
llaron en su momento mecanismos que permitieran cono-
MODULO 7. cer el verdadero origen o destino de un paquete.

MODULO 8. En la actualidad, estos ataques pueden ser evitados o al

menos mitigados a través de controles en los firewall o
MODULO 9.
técnicas de inspección de paquetes en profundidad que
MODULO 10. permitan detectar este tipo de ataque.

MODULO 11. A continuación se ven en detalle cómo ocurren:

MODULO 12.
Curso ARP Spoofing
Introductorio
de Seguridad ARP es una sigla que corresponde a Address Resolution
Protocol. Es un protocolo de capa 2 que permite a los
Autor:
Ernesto Pérez Estévez equipos de una misma red local conocer hacia qué destino
va dirigido un trama.
MODULO 1.
Los equipos de una red guardan una lista de hosts de esa
MODULO 2. misma red y los asocian con sus direcciones IP, ejemplo:
MODULO 3.

MODULO 4. Tabla 2

MODULO 5. MAC IP

MODULO 6. 52:54:00:1c:b3:97 192.168.1.1

Seguridad
en redes TCP/IP
50:7b:9d:07:35:e5 192.168.1.25
MODULO 7.
50:7b:9d:03:32:f1 192.168.1.103
MODULO 8.

MODULO 9. 00:26:73:8b:bb:87 192.168.1.45

MODULO 10.
54:e1:ad:01:24:1e 192.168.1.33
MODULO 11.

MODULO 12.
Curso El objetivo es que cuando el equipo con la IP 192.168.1.33
Introductorio quiera enviar un paquete a un servidor en Internet, por
de Seguridad ejemplo, google.com, lo enviará al gateway de su red.
Autor:
Ernesto Pérez Estévez Supongamos que el gateway de la red es 192.168.1.1 (el pri-
mero de la lista). En un ataque de ARP spoofing, también
MODULO 1. conocido como ARP poisoning, un equipo intruso intenta-
rá contaminar la tabla de ARP de forma tal que se anuncie
MODULO 2. como que es la IP 192.168.1.1 para confundir a los miem-
bros de la red con la finalidad de que le envíen a él (que al
MODULO 3.
tener la 192.168.1.1 del ejemplo será el gateway).
MODULO 4.

MODULO 5. Tabla 3

MODULO 6. MAC IP
Seguridad
en redes TCP/IP 50:7b:9d:03:32:f1 192.168.1.1
MODULO 7.
52:54:00:1c:b3:97 192.168.1.1
MODULO 8.
50:7b:9d:03:32:f1 192.168.1.1
MODULO 9.
50:7b:9d:07:35:e5 192.168.1.45
MODULO 10.
00:26:73:8b:bb:87 192.168.1.33
MODULO 11.
54:e1:ad:01:24:1e 192.168.1.33
MODULO 12.
Curso El equipo marcado en negritas es el que está atacando y se
Introductorio anuncia como la IP 192.168.1.1, por lo que el resto de equi-
de Seguridad pos de la red le enviará los paquetes destinados al gateway.
Autor:
Ernesto Pérez Estévez El atacante normalmente opta por analizar, inspeccio-
nar el paquete que recibe, y luego, para que nadie se dé
MODULO 1. cuenta, lo entrega al verdadero gateway para que conti-
núe su camino.
MODULO 2.
¿Cómo prevenir o mitigar este ataque?
MODULO 3.

MODULO 4. · Usar tablas ARP estáticas: los hosts de la red podrían

tener grabadas estáticamente en sus tablas ARP las direc-
MODULO 5. ciones de los equipos principales de la red (por ejemplo, el
gateway) de forma tal que nadie pueda anunciarse y hacer-
MODULO 6.
se pasar por ellos. Ahora, incorporar contenido estático en
Seguridad
en redes TCP/IP los hosts requerirá un mayor esfuerzo de mantenimiento.

MODULO 7. · Software de detección de intentos de ARP spoofing: de-

tectar que múltiples MAC están asociadas a una misma IP
MODULO 8. sería una buena idea. Existe forma de incorporar esto a los
switches y routers de forma que no permitan este tipo de
MODULO 9.
situación o alerten sobre ella. En el caso de Linux existió un
MODULO 10. módulo del kernel llamado ArpStar y en el caso de Windows
existe AntiARP. Estas opciones para tienen sus desventa-
MODULO 11. jas, ya que requieren de un fuerte conocimiento de red para
usarse. Esto es, a un usuario normal se le presentarán qui-
MODULO 12.
zás más problemas que las ventajas que se le ofrecen.
Curso El ARP spoofing puede usarse incluso para realizar opera-
Introductorio ciones beneficiosas para la red, como por ejemplo depurar
de Seguridad o revisar el tráfico que ocurre en la red. Se puede hacer
spoofing de uno de los dos hosts para poder leer los pa-
Autor:
Ernesto Pérez Estévez quetes que se reciben y analizarlos.

MODULO 1. IP Spoofing

MODULO 2. El paquete IP tiene una IP de origen y una IP de destino.

Así, se asume como cierto que la IP de origen es la IP des-
MODULO 3.
de la cual fue enviado el paquete. Sin embargo, un ata-
MODULO 4. cante puede cambiar la IP de origen en el paquete para
hacer creer que viene de otro lugar.
MODULO 5.
¿Cómo se usa de forma malintencionada?
MODULO 6.
Seguridad
en redes TCP/IP · Muchas redes tienden a confiar en todos los equipos que
están en ella (por ejemplo, se confía en todos los equipos
MODULO 7. de la LAN), por lo que un atacante podría hacerse pasar
por un equipo de la LAN cambiando la dirección de origen.
MODULO 8. De esta forma, podría intentar hacer cambios u obtener
acceso en un determinado sistema pues se hizo pasar por
MODULO 9.
un origen legítimo.
MODULO 10.
En este caso las respuestas del servidor atacado van a
MODULO 11. parar a la dirección que se falsificó, por lo que el atacante
debe estar escuchando el tráfico de red, pues de lo con-
MODULO 12.
trario no recibirá nada. Otra variante es que al atacante no
Curso le interesen las respuestas, sino que se contente simple-
Introductorio mente con enviar datos sin preocuparse por lo que se res-
de Seguridad ponda y con eso lograr su objetivo.
Autor:
Ernesto Pérez Estévez · A veces lo que buscan es que sistemas de nuestra red
respondan con mucha cantidad de datos a terceros. Le
MODULO 1. hacen creer a nuestros equipos que un servidor —por
ejemplo, Facebook— le ha solicitado algo. Esto se logra
MODULO 2. poniendo como dirección de origen la de Facebook. En-
tonces, nuestros equipos le envían respuestas (mientras
MODULO 3.
más grandes, peor para el destino). Un ataque de miles de
MODULO 4. equipos enviando grandes respuestas a Facebook es un
ataque de negación de servicios (DDOS) por inundación a
MODULO 5. este sitio. Además, el culpable habrá enviado esa informa-
ción desde nuestra red.
MODULO 6.
Seguridad
en redes TCP/IP ¿Cómo prevenir o mitigar este ataque?

MODULO 7. Una de las formas más comunes de evitar este ataque

es a nivel del firewall de la red. Los cortafuegos no deben
MODULO 8. permitir que ingresen paquetes desde Internet a la red
con una dirección de origen que pertenezca a nuestra red
MODULO 9.
local. Estos paquetes deben ser bloqueados.
MODULO 10.
E-mail address spoofing
MODULO 11.
Esta técnica es muy utilizada por parte de personas que
MODULO 12.
envían spam, pero también por quienes intentan hacerse
Curso pasar por otra persona para confundir y lograr objetivos
Introductorio poco claros. Por ejemplo, hacerse pasar por el jefe de una
de Seguridad empresa y dar indicaciones de que se desarrollen activi-
dades o entregas de equipo o de dinero.
Autor:
Ernesto Pérez Estévez
El protocolo SMTP permite que uno defina quién es el que
MODULO 1. está enviando el mail. Esto implica que pueda decírsele al
servidor que el correo se envía desde gerencia@nuestro-
MODULO 2. dominio.com y que el servidor deba aceptarlo a pesar de
que quien lo envía no sea gerencia@nuestrodominio.com.
MODULO 3.

MODULO 4. Por ejemplo, a una empresa importadora se le hicieron

pasar por el fabricante, que era una empresa famosísi-
MODULO 5. ma a nivel mundial de venta de equipos Wi-Fi. El atacante
ponía en el from el correo electrónico de esta empresa,
MODULO 6.
pero además agregaba un campo adicional, el reply to, de
Seguridad
en redes TCP/IP forma que cuando se respondía al correo enviado, este
no llegaba al fabricante sino a un servicio de correo de un
MODULO 7. tercero. Así lograron convencer a la importadora de hacer
transferencias de cientos de miles de dólares a este ter-
MODULO 8. cero bajo el pretexto de que era la sucursal de este fabri-
cante en otro país.
MODULO 9.

MODULO 10. ¿Cómo prevenir o mitigar este ataque?

MODULO 11. Se debe actuar con sensatez y cuando se solicitan valores

o entregas de muy alto valor confirmar por otras vías con
MODULO 12.
quien dice haberlo enviado.
Curso Otra forma es mirar siempre a quién va dirigido el mail y de
Introductorio que dice venir. Así evitamos los reply to.
de Seguridad
Hay otras variantes que pueden implementarse por softwa-
Autor:
Ernesto Pérez Estévez re, pero no son totalmente confiables. Por ejemplo, revisar
que el servidor desde donde se envió el mail sea un servi-
MODULO 1. dor autorizado para enviar a nombre del remitente del co-
rreo. No puede ser que alguien se haga pasar por, por ejem-
MODULO 2. plo, gerente@google.com y esté enviando un mail desde un
servidor de una tienda de zapatos localizada en Hungría.
MODULO 3.

MODULO 4. Existe una técnica llamada Sender Policy Framework

(SPF) que intenta validar que el servidor de origen de un
MODULO 5. mail sea el autorizado por su remitente. Se puede ver más
información al respecto en http://www.openspf.org/ y en
MODULO 6.
https://es.wikipedia.org/wiki/Sender_Policy_Framework
Seguridad
en redes TCP/IP
Website spoofing
MODULO 7.
Esta opción es muy utilizada por personas que intentan
MODULO 8. robar credenciales de otros sitios. Consiste en hacer un
sitio idéntico o muy similar al original y hacerle creer al
MODULO 9.
usuario que se trata del sitio real.
MODULO 10.
Phishing: es una palabra muy común y la técnica que
MODULO 11. nombra consiste en tratar de robar credenciales de usua-
rios. Una forma de hacer phishing es hacerle creer a un
MODULO 12.
usuario que está entrando en el verdadero sitio web.
Curso
Introductorio
de Seguridad
Autor:
Ernesto Pérez Estévez

MODULO 1.

MODULO 2.

MODULO 3.

MODULO 4.

MODULO 5.

MODULO 6.
Seguridad
en redes TCP/IP

MODULO 7.

MODULO 8.
La imagen anterior es intento de suplantar un sitio. Parece
MODULO 9. hotmail, dice «Microsoft», tiene el logo de Microsoft, pa-
rece el enlace de login de Microsoft, al fondo a la derecha
MODULO 10.
dice «copyright 2017 Microsoft» y tiene «Terms of Use».
MODULO 11.

MODULO 12.
Curso Además, si se mira la URL dice al final:
Introductorio “hotmail/login.php?cmd=login_submit&id=...”,
de Seguridad muy similar a hotmail.
Autor:
Ernesto Pérez Estévez Medidas de precaución:

MODULO 1. · Revisar bien las alertas que nuestro navegador puede dar.
En este ejemplo, en rojo dice: «Deceptive Site… Get me out
MODULO 2. of here!». Los navegadores más populares tienen incorpo-
radas listas de sitios que con contenidos de tipo malicioso o
MODULO 3.
confuso (deceptives).
MODULO 4.
· Revisar bien la URL: parece Hotmail, pero el nombre del
MODULO 5. sitio no dice «Hotmail», sino «fabriciolima.com».
MODULO 6.
· Verificar que la URL utilice HTTPS (en este caso no lo utili-
Seguridad
en redes TCP/IP za: no tiene el candadito ni la señal verde en la URL).

MODULO 7. La imagen siguiente muestra otro ejemplo de website

spoofing:
MODULO 8.

MODULO 9.

MODULO 10.

MODULO 11.

MODULO 12.
Curso
Introductorio
de Seguridad
Autor:
Ernesto Pérez Estévez

MODULO 1.

MODULO 2.

MODULO 3.

MODULO 4.

MODULO 5.

MODULO 6.
Seguridad
en redes TCP/IP

MODULO 7.

MODULO 8.

MODULO 9.

MODULO 10.

MODULO 11.

MODULO 12.
Curso DNS spoofing
1
Para una lista de registradores
acreditados pueden consultar
Introductorio en https://www.icann.org/
de Seguridad Es un caso que puede llegar a tener gran impacto en los registrar-reports/accredited-
list.html
clientes. Muchas veces viene combinado con el caso an-
Autor:
Ernesto Pérez Estévez terior de website spoofing, pero en este caso además de
hacer un sitio que parezca el verdadero sitio un atacante
MODULO 1. falsea además las respuestas que nuestro servicio de DNS
da para que aparezca el verdadero nombre del sitio.
MODULO 2.
Este tipo de ataques es conocido también como envene-
MODULO 3.
namiento de caché de DNS y se puede realizar de diver-
MODULO 4. sas formas:

MODULO 5. · El atacante puede redirigir el nombre del servidor de DNS

de un dominio hacia otra IP que controla, dando respues-
MODULO 6.
tas a las preguntas de la forma en que más le convenga.
Seguridad
en redes TCP/IP
Cuando alguien registra un dominio, tiene que declarar al
MODULO 7. menos dos servidores de DNS (y sus IP). Esta labor se hace
en lo que se conoce como un registrador. Existen muchos
MODULO 8. registradores, como por ejemplo: godaddy.com, enom.com,
markmonitor.com, networksolutions.com, etcétera 1.
MODULO 9.

MODULO 10. Por ejemplo, Facebook.com está registrado a través del

registrador markmonitor.com se puede ver en la imagen a
MODULO 11. continuación:
MODULO 12.
Curso
Introductorio
de Seguridad
Autor:
Ernesto Pérez Estévez

MODULO 1.

MODULO 2.

MODULO 3.

MODULO 4.

MODULO 5.

MODULO 6.
Seguridad
en redes TCP/IP
En el mismo comando whois al final están los DNS de
MODULO 7. Facebook:

MODULO 8.

MODULO 9.

MODULO 10.

MODULO 11. Si un atacante logra confundir, engañar, convencer al

registrador Facebook de que cambie la IP o que cam-
MODULO 12.
bie uno de los DNS que Facebook registró e indicarle al
Curso proveedor que la IP de a.ns.facebook.com ya no es la
2
Ver más en https://dyn.com/
blog/use-of-bit-0x20-in-dns-
Introductorio 69.171.239.12 sino que es otra IP localizada en otro lugar labels/
de Seguridad del planeta y fuera del control de Facebook, podría en-
tonces montar una falsa página de Facebook para todos
Autor:
Ernesto Pérez Estévez o para un grupo de los usuarios que pregunten a su ser-
vicio de DNS y obtener información de estos usuarios,
MODULO 1. como usuarios o claves.

MODULO 2. Es posible, con suficiente amabilidad, habilidades huma-

nas y tiempo, confundir a un registrador y hacernos pasar
MODULO 3.
por el legítimo dueño de un dominio.
MODULO 4.
· Aleatorización de puertos: los DNS utilizarán puertos
MODULO 5. aleatorios para realizar sus consultas y si las respuestas
vienen de puertos que no están activos al momento, estas
MODULO 6.
consultas serán descartadas.
Seguridad
en redes TCP/IP
· Utilización de 0x202: es una sugerencia que lleva años
MODULO 7. propuesta y consiste en que los nombres de dominio no
sean sensitivos a las mayúsculas y minúsculas: da lo mis-
MODULO 8. mo preguntar por GooGLE.cOM que por google.com, pero
los DNS responden con las mismas mayúsculas y minús-
MODULO 9.
culas con que se les pregunta: si se les pregunta por Goo-
MODULO 10. GLe.Com la respuesta no llegará como google.com, sino,
precisamente, como se les preguntó: GooGLe.Com. Se su-
MODULO 11. giere cambiar las combinaciones de mayúsculas y minús-
culas de forma aleatoria y aceptar solamente la respuesta
MODULO 12.
que venga con el mismo tipo de letra, de forma tal que un
Curso atacante que no sepa que se preguntó por GOOgle.cOM y
Introductorio envíe una respuesta como google.com, al tener nuestro
de Seguridad servidor DNS 0x20 activado, esta respuesta sería descar-
tada por inválida, por no venir con la misma combinación
Autor:
Ernesto Pérez Estévez de mayúsculas y minúsculas.

MODULO 1. · También pueden utilizarse otras técnicas como DNSSEC

o DNS crypt que envían las respuestas a través de meca-
MODULO 2. nismos de encriptación, de modo que un atacante tendría
dificultades para tratar de falsear la respuesta que viene
MODULO 3.
encriptada.
MODULO 4.
Botnets
MODULO 5.
Botnet viene de red de robots (robot=bot) y en consiste en
MODULO 6.
un grupo de máquinas en diversos lugares de Internet que
Seguridad
en redes TCP/IP están siendo controladas por un tercero, con la finalidad
de realizar actividades maliciosas.
MODULO 7.
¿Cómo sucede esto? ¿Cómo las controlan?
MODULO 8. El atacante logra infectar estas máquinas a través de un
malware que distribuye:
MODULO 9.

MODULO 10. · En forma de correos masivos.

MODULO 11. · Convenciendo a los usuarios de que instalen desde Inter-

net el programa malicioso: muchas veces esta oferta viene
MODULO 12.
disfrazada como un programa que ayudará a resolver un
Curso problema de seguridad, o le permitirá al usuario jugar gra-
Introductorio tis, lo que hará que el usuario instale el malware.
de Seguridad
· Propagándose en forma de virus.
Autor:
Ernesto Pérez Estévez
Este programa malicioso se conecta entonces a un centro
MODULO 1. de comando y control (CCC) que no es más que un equipo
en Internet al que las máquinas contaminadas se «repor-
MODULO 2. tan»: le avisan al servidor «estoy aquí y lista para obede-
cer tus comandos»).
MODULO 3.

MODULO 4. Un CCC puede manejar varios cientos de miles de má-

quinas contaminadas, todas ellas a la espera de instruc-
MODULO 5. ciones desde el CCC. Así, el atacante dueño de la botnet,
conocido como el dueño de la red (botmaster) puede, a
MODULO 6.
través del CCC, dar indicaciones a las máquinas.
Seguridad
en redes TCP/IP

MODULO 7.

MODULO 8.

MODULO 9.

MODULO 10.

MODULO 11.

MODULO 12.
Curso
Introductorio
de Seguridad
Autor:
Ernesto Pérez Estévez
BOTMASTER
MODULO 1.
C&C - SERVERS
MODULO 2. (COMMAND - CONTROL)

MODULO 3.

MODULO 4.
INFECTED COMPUTERS
MODULO 5. (ZOMBIES)

MODULO 6.
Seguridad
en redes TCP/IP

MODULO 7.

MODULO 8.

MODULO 9.

MODULO 10.

MODULO 11.

MODULO 12.
Curso Para los siguientes ejemplos debe tenerse en cuenta que
Introductorio serán ejecutados por decenas de miles o cientos de miles
de Seguridad de bots controladas por el CCC:
Autor:
Ernesto Pérez Estévez · Bajen una copia de www.facebook.com

MODULO 1. · Tomen esta lista de un millón de correos electrónicos y

tengan este texto del mensaje. Envíen cada una de uste-
MODULO 2. des diez correos de spam.
MODULO 3.
· Envíenme todos los documentos que encuentre en sus
MODULO 4. máquina al email rnfirirthr@gmail.com

MODULO 5. Estos son tres ejemplos, no los únicos, pero dan una idea
del poder de una botnet. ¿Qué representaría para www.
MODULO 6.
facebook.com que repentinamente cien mil máquinas ba-
Seguridad
en redes TCP/IP jaran una copia del sitio a la vez? ¿Qué implicaría esto para
Facebook? Ellos tendrían que servir a cien mil peticiones
MODULO 7. mostrar el sitio de Facebook.

MODULO 8. Claro, Facebook puede tener suficientes recursos para

soportar que, repentinamente, se le soliciten desde cien
MODULO 9.
mil lugares diferentes de Internet ver su sitio, pero un sitio
MODULO 10. más pequeño, con menos recursos que el de Facebook no
podrá cumplir en un instante con las cien mil peticiones.
MODULO 11. Habrá sido objeto de un ataque de DDOS.
MODULO 12.
Curso Lo mismo sucedería con el segundo ejemplo: cien mil má-
Introductorio quinas enviando cada una diez correos de spam podrán
de Seguridad enviar 100.000 * 10 = 1.000.000; un millón de correos de
spam en pocos segundos.
Autor:
Ernesto Pérez Estévez
El tercer ejemplo es un caso típico de robo de información:
MODULO 1. se trata de una máquina contaminada y el programa que
la contamina ha sido instruido para enviar los documentos
MODULO 2. (fotos, videos o todos ellos) a un correo que luego el ata-
cante podrá revisar y usar para extorsionar al afectado o
MODULO 3.
vender secretos obtenidos.
MODULO 4.
¿Cómo mitigar el problema de las botnets?
MODULO 5.
En principio las botnets tienen un esquema difícil de eli-
MODULO 6.
minar: son decenas o cientos de miles de máquinas a lo
Seguridad
en redes TCP/IP largo y ancho del planeta, equipos que se han contamina-
do en las casas de diversos usuarios, o pequeñas, media-
MODULO 7. nas o grandes empresas.

MODULO 8. Habría que descontaminar estos equipos, pero ¿cómo se

haría en decenas de miles de lugares en todo el mundo?
MODULO 9.
Se deberá esperar a que los usuarios y administradores se
MODULO 10. concienticen y ejecuten antivirus en sus máquinas o las
actualicen para evitar que sean contaminadas. Mientras
MODULO 11. unos lo harán, otros equipos desde lugares diferentes del
planeta pasarán a incorporarse a las filas de la botnet.
MODULO 12.
Curso Una forma más efectiva de luchar contra las botnets es
Introductorio atacar al CCC. Inicialmente las máquinas se conectaban a
de Seguridad una dirección IP, entonces los investigadores de seguridad
podían analizar el tráfico de una máquina contaminada y
Autor:
Ernesto Pérez Estévez determinar cuál era la IP en la que el CCC estaba localizado.
Luego se planificaba una acción en conjunto con la policía
MODULO 1. del país donde estaba el CCC y se apagaba, o, mejor aún, en
lugar de apagarlo, se colocaba un equipo señuelo, controla-
MODULO 2. do por la policía o por los investigadores, de modo que todo
bot que se conectara al señuelo fuera detectado, pues ellos
MODULO 3.
seguirán queriendo conectarse a la IP ahora controlada por
MODULO 4. el atacante. Una vez detectado, se podría avisar al respon-
sable de esas IP que están contaminadas.
MODULO 5.
El anterior es un ejemplo muy simple, pero los atacantes
MODULO 6.
complejizan cada vez más sus botnets. Por ejemplo, si en
Seguridad
en redes TCP/IP vez de una IP fija se usa un nombre de dominio y el atacan-
te registra un dominio mybtnet.pw y apunta www.mybtnet.
MODULO 7. pw a la IP 1.2.3.4 y si la policía lograra controlar la IP 1.2.3.4,
al atacante le alcanzaría con cambiar la IP, apuntarla a otro
MODULO 8. lugar en otro país: 4.3.2.1 para mantener viva su botnet.
MODULO 9.
¿Qué se debe hacer ante este caso? Los organismos de
MODULO 10. cumplimiento de la ley y la Justicia deben controlar no so-
lamente la IP, sino el dominio. Para ello se trabaja con las
MODULO 11. empresas registradoras de dominios para que, mediante
ciertos protocolos, quiten el control de este dominio y se
MODULO 12.
lo den a las autoridades, quienes pueden apagar la botnet.
Curso Sin embargo, ahora los atacantes codifican dentro de los
Introductorio bots una lista de dominios de forma tal que si las autorida-
de Seguridad des controlan a un dominio de la lista, el atacante activa
a otro. Entonces se hace más difícil para las autoridades
Autor:
Ernesto Pérez Estévez controlar no ya una IP y un dominio, sino múltiples do-
minios (cinco, diez o cien). Así es como se comportan las
MODULO 1. botnets en la actualidad.

MODULO 2. Es necesario aclarar que varias de las fallas aquí descritas

no tienen una solución definitiva, pero que sí existen me-
MODULO 3.
didas que permiten mitigar ataques hacia ellas.
MODULO 4.
3. Formas de ataque (directo, a través de terceros, a tra-
MODULO 5. vés de un control maestro)
MODULO 6.
¿Cómo hacen los atacantes para evitar ser descubiertos?
Seguridad
en redes TCP/IP Debe indicarse en primer lugar que toda actividad en In-
ternet deja algún tipo de traza, pero los atacantes buscan
MODULO 7. métodos ingeniosos para hacer recaer la culpa en terce-
ros, no en ellos.
MODULO 8.
¿Cómo ocultan su identidad?:
MODULO 9.

MODULO 10. · No usan sus verdaderos nombres. En lugar de llamarse

José de las Mercedes y Ribadeneira, en este submundo se
MODULO 11. hacen llamar con nombres de dibujos animados o inventa-
dos: GokuSpain666.
MODULO 12.
Curso · En vez de su foto de perfil con un perrito, lo que hace es
Introductorio poner algún signo o imagen que no tenga relación alguna
de Seguridad con su persona.
Autor:
Ernesto Pérez Estévez Se conectan de varias formas, una de las cuales es apro-
vechar una conexión cuyo dueño no sea cuidadoso y per-
MODULO 1. mita a otros conectarse a través de ella. No se conectan a
hacer daño desde su casa o trabajo. Para conectarse uti-
MODULO 2. lizan redes que no son de ellos. Por ejemplo, en un ciber-
café, una escuela o universidad o un garage se conectan
MODULO 3.
a un cable de red que por error haya quedado conectado
MODULO 4. a una red de una empresa, o se conectan a en equipo de
Wi-Fi con una clave débil, o, mejor aún, que no tiene clave.
MODULO 5. También se conectan desde un aeropuerto o un parque
que ofrezca Wi-Fi gratis.
MODULO 6.
Seguridad
en redes TCP/IP En fin, el atacante, al no ser el responsable de esos equi-
pos, puede hacer y deshacer a su antojo y cuando las au-
MODULO 7. toridades vayan a buscar al proveedor de Internet a pre-
guntar por una determinada dirección IP, el proveedor de
MODULO 8. Internet lo único que podrá decir es que esa IP está asig-
nada a un usuario o a una empresa.
MODULO 9.

MODULO 10. ¿Qué harán las autoridades? Tomarán la pista que el pro-
veedor de Internet les da y acudirán al usuario o empresa
MODULO 11. a la que esta IP está asignada, para averiguar cosas que el
titular de la red desconoce.¿Por qué las desconoce? Por-
MODULO 12.
que no es el dueño de la casa o de la empresa el culpable
Curso del ataque. El atacante es un tercero que está conectándo-
Introductorio se o se conectó en el pasado desde esa red, sin permiso.
de Seguridad
Es por eso que no debe dejarse ni un solo espacio para
Autor:
Ernesto Pérez Estévez que un tercero entre a nuestras redes, porque, de lo con-
trario, podrían sucedernos historias como esta.
MODULO 1.
Otra forma de atacar es la remota: el atacante encuentra
MODULO 2. una falla en un dispositivo en algún lugar de Internet y esta
falla le permite entrar al dispositivo. Entonces le ordena a
MODULO 3.
este dispositivo que haga acciones por él. Lo usará de pun-
MODULO 4. ta de lanza para atacar a otros. Cuando los otros vean quién
los está atacando notarán que es este dispositivo pero el
MODULO 5. propietario de ese dispositivo no sabrá por qué lo están
contactando las autoridades para saber por qué su equipo
MODULO 6.
está realizando acciones maliciosas hacia terceros.
Seguridad
en redes TCP/IP
Esta última variante es bastante utilizada, pues involucra
MODULO 7. a varios países. Este es solo un ejemplo: un atacante loca-
lizado en Angola utilizará un dispositivo que comprometió
MODULO 8. en Tailandia para atacar un sitio web de México. El esfuer-
zo coordinado que las autoridades tendrán que hacer para
MODULO 9.
que las de México contacten a las de Tailandia —desde
MODULO 10. donde viene supuestamente el ataque—, para que enton-
ces los tailandeses se den cuenta de que el dispositivo
MODULO 11. está comprometido y monitoreen su tráfico y descubran
e informen a las autoridades de Angola que desde una IP
MODULO 12.
angoleña hay un ataque hacia un equipo en México? Es
Curso de eso que se aprovechan los atacantes: de la cantidad
Introductorio de dispositivos fáciles de atacar y de lo lento que pueden
de Seguridad actuar las autoridades de distintos países.
Autor:
Ernesto Pérez Estévez

MODULO 1.

MODULO 2.

MODULO 3.

MODULO 4.

MODULO 5.

MODULO 6.
Seguridad
en redes TCP/IP

MODULO 7.

MODULO 8.

MODULO 9.

MODULO 10.

MODULO 11.

MODULO 12.