2.

1 ANALIZANDO UN CIBERATAQUE
2.1.1 Tipos de malware
Los ciberdelincuentes utilizan muchos tipos diferentes de software malicioso, o malware, para llevar
a cabo sus actividades. El malware es cualquier código que se puede utilizar para robar datos, eludir
los controles de acceso o causar daño o comprometer un sistema. Saber cuáles son los diferentes
tipos y cómo se propagan es clave para contenerlos y eliminarlos.

Spyware
Diseñado para rastrearlo y espiarlo, el software espía monitorea su actividad en línea y puede
registrar cada tecla que presiona en el teclado, así como capturar casi todos sus datos, incluida
información personal confidencial, como sus datos bancarios en línea. El software espía lo hace
modificando la configuración de seguridad de sus dispositivos.

El spyware con frecuencia se agrupa con el software legítimo o con caballos troyanos.

Adware
El adware a menudo se instala con algunas versiones de software y está diseñado para entregar
automáticamente anuncios a un usuario, la mayoría de las veces en un navegador web. ¡Lo sabes
cuando lo ves! Es difícil ignorarlo cuando te enfrentas a anuncios emergentes constantes en tu
pantalla.

Es común que el adware venga con spyware.

Puerta trasera
Este tipo de malware se utiliza para obtener acceso no autorizado al omitir los procedimientos de
autenticación normales para acceder a un sistema. Como resultado, los hackers pueden obtener
acceso remoto a los recursos de una aplicación y emitir comandos remotos del sistema.

Una puerta trasera funciona en segundo plano y es difícil de detectar.

Ransomware
El malware está diseñado para mantener cautivo un sistema computacional o los datos que contiene
hasta que se realice un pago. El ransomware generalmente funciona cifrando sus datos para que no
pueda acceder a ellos.

Algunas otras versiones de ransomware pueden aprovechar vulnerabilidades específicas del sistema
para bloquearlo. El ransomware a menudo se propaga a través de correos electrónicos de phishing
que lo alientan a descargar un archivo adjunto malicioso o a través de una vulnerabilidad.
Scareware
Este es un tipo de malware que utiliza tácticas de «miedo» para engañarlo para que tome una acción
específica. El scareware consiste principalmente en ventanas emergentes que aparecen para
advertirle que su sistema está en riesgo y necesita ejecutar un programa específico para que vuelva
a funcionar normalmente.

Si acepta ejecutar el programa específico, su sistema se infectará con malware.

Rootkit
Este malware está diseñado para modificar el sistema operativo para crear una puerta trasera, que
los atacantes pueden usar para acceder a su computadora de forma remota. La mayoría de los
rootkits aprovecha las vulnerabilidades de software para ganar acceso a recurso que normalmente
no debería ser accesibles (escalada de privilegios) y modificar los archivos del sistema.

Los rootkits también pueden modificar las herramientas de monitoreo y análisis forense del sistema,
lo que los hace muy difíciles de detectar. En la mayoría de los casos, un equipo infectado por un
rootkit debe borrarse y reinstalarse cualquier software necesario.

Virus
Un virus es un tipo de programa informático que, cuando se ejecuta, se replica y se adjunta a otros
archivos ejecutables, como un documento, insertando su propio código. La mayoría de los virus
requieren la interacción del usuario final para iniciar la activación y se pueden escribir para que
actúen en una fecha u hora específica.

Los virus pueden ser relativamente inofensivos, como los que muestran una imagen divertida. O
pueden ser destructivos, como los que modifican o eliminan datos.

Los virus también pueden programarse para mutar a fin de evitar la detección. La mayoría de los
virus ahora se esparcen por unidades USB, discos ópticos, recursos de red compartidos o correo
electrónico.

Troyano
Este malware lleva a cabo operaciones maliciosas al enmascarar su verdadera intención. Puede
parecer legítimo pero, de hecho, es muy peligroso. Los troyanos aprovechan sus privilegios de
usuario y se encuentran con mayor frecuencia en archivos de imagen, archivos de audio o juegos.

A diferencia de los virus, los troyanos no se replican a sí mismos, sino que actúan como señuelo
para colar software malicioso a los usuarios desprevenidos.

Gusanos
Este es un tipo de malware que se replica a sí mismo para propagarse de un ordenador a otro. A
diferencia de un virus, que requiere un programa anfitrión para ejecutarse, los gusanos pueden
ejecutarse por sí mismos. Aparte de la infección inicial del host, no requieren la participación del
usuario y pueden propagarse muy rápidamente por la red.
Los gusanos comparten patrones similares: aprovechan las vulnerabilidades del sistema, tienen una
forma de propagarse y todos contienen código malicioso (carga útil) para dañar los sistemas
informáticos o las redes.

Los gusanos son responsables de algunos de los ataques más devastadores en Internet. En 2001, el
gusano Code Red había infectado más de 300.000 servidores en solo 19 horas.

2.1.2 Síntomas del malware

This component is a flipcard comprised of flippable cards containing display image. Select the front face image to flip to the back face of these card to display associated text.

Así que ahora conoce los diferentes tipos de malware. Pero, ¿cuáles cree que podrían ser sus
síntomas?

Independientemente del tipo de malware con el que se ha infectado un sistema, estos son síntomas
frecuentes de malware. Entre ellos se encuentran:

 un aumento en el uso de la unidad de procesamiento central (CPU), lo que ralentiza el

dispositivo
 el equipo se congela o se bloquea con frecuencia
 una disminución en la velocidad de navegación web
 problemas inexplicables con las conexiones de red
 archivos modificados o eliminados
 una presencia de archivos, programas o iconos de escritorio desconocidos.
 se ejecutan procesos o servicios desconocidos
 los programas se cierran o reconfiguran solos
 se envían correos electrónicos sin el conocimiento o el consentimiento del usuario.

2.2.1 Ingeniería social

Presentación de diapositivas. Seleccione el botón Siguiente para avanzar.

La ingeniería social es la manipulación a las personas para que realicen acciones o divulguen
información confidencial. Los ingenieros sociales con frecuencia dependen de la disposición de las
personas para ayudar, pero también se aprovechan de sus vulnerabilidades. Por ejemplo, un
atacante llamará a un empleado autorizado con un problema urgente que requiere acceso inmediato
a la red y apelará a la vanidad o la codicia del empleado o invocará la autoridad mediante el uso de
técnicas de eliminación de nombres para obtener este acceso.

Seleccione las flechas para obtener más información sobre algunos tipos comunes de
ataques de ingeniería social.

Pretexto

Esto es cuando un atacante llama a una persona y miente en el intento de obtener acceso a datos
privilegiados.
Por ejemplo, fingir que necesita los datos personales o financieros de una persona para confirmar su
identidad.

Infiltración (tailgating)

Esto es cuando un atacante sigue rápidamente a una persona autorizada a un lugar seguro.

Una cosa por otra (quid pro quo)

Esto sucede cuando un hacker solicita información personal de una parte a cambio de algo, como un
regalo gratis.

2.2.2 Denegación de servicio

This component is a flipcard comprised of flippable cards containing display image. Select the front face image to flip to the back face of these card to display associated text.

Los ataques de denegación de servicio (DoS) son un tipo de ataque de red que es relativamente
sencillo de llevar a cabo, incluso por parte de un atacante no cualificado. Un ataque DoS da como
resultado cierto tipo de interrupción del servicio de red a los usuarios, los dispositivos o las
aplicaciones.

Seleccione las imágenes para obtener más información sobre los dos tipos principales de
ataques DoS.

Cantidad abrumadora de tráfico

Esto es cuando se envía una gran cantidad de datos a una red, a un host o a una aplicación a una
velocidad que no pueden procesar. Esto ocasiona una disminución de la velocidad de transmisión o
respuesta o una.

Paquetes malicioso formateados

Un paquete es una colección de datos que fluye entre una computadora o aplicación de origen y una
receptora a través de una red, como Internet. Cuando se envía un paquete con formato malicioso, el
receptor no puede manejarlo.

Por ejemplo, si un atacante reenvía paquetes que contienen errores o paquetes formateados
incorrectamente que no pueden ser identificados por una aplicación, esto hará que el dispositivo
receptor funcione muy lentamente o se bloquee.

a en un dispositivo o servicio.

Los ataques de DoS se consideran un riesgo importante porque pueden interrumpir fácilmente la
comunicación y causar una pérdida significativa de tiempo y dinero.

2.2.3 DoS distribuido

Un ataque DoS distribuido (DDoS) es similar a un ataque DoS pero proviene de múltiples fuentes
coordinadas. Por ejemplo:
  Un atacante crea una red (botnet) de hosts infectados llamados zombies, que son controlados
por sistemas de manejo.
 Las computadoras zombis constantemente analizan e infectan más hosts, creando más y más
zombis.
 Cuando está listo, el hacker proporciona instrucciones a los sistemas manipuladores para que
los botnet de zombies lleven a cabo un ataque de DDoS.

2.2.4 Botnet
 Una computadora bot se infecta generalmente por visitar un sitio web, abrir un elemento
adjunto de correo electrónico o abrir un archivo de medios infectado. Una botnet es un grupo
de bots, conectados a través de Internet, que pueden ser controlados por un individuo o grupo
malintencionado. Puede tener decenas de miles, o incluso cientos de miles, de bots que
normalmente se controlan a través de un servidor de comando y control.
 Estos bots se pueden activar para distribuir malware, lanzar ataques DDoS, distribuir correo
electrónico no deseado o ejecutar ataques de contraseña por fuerza bruta. Los
ciberdelincuentes suelen alquilar botnets a terceros con fines nefastos.
 Muchas organizaciones, como Cisco, fuerzan las actividades de red a través de filtros de
tráfico de botnet para identificar cualquier ubicación de botnet.
 Seleccione la imagen para obtener más información.

Los bots infectados intentan comunicarse con un host de comando y control Internet

El filtro de botnet de Firewall de Cisco es una función que detecta el tráfico procedente de
dispositivos infectados con el código de botnet malicioso.

El servicio Cisco Security Intelligence Operations (SIO) basado en la nube envía filtros actualizados
al firewall que coinciden con el tráfico de las nuevas botnets conocidas.

Las alertas se envían al equipo de seguridad interno de Cisco para notificarles sobre los dispositivos
infectados que generan tráfico malicioso para que puedan prevenirlos, mitigarlos y remediarlos.

2.2.5 Ataques en el camino

This component is a flipcard comprised of flippable cards containing display image. Select the front face image to flip to the back face of these card to display associated text.

Los atacantes en ruta interceptan o modifican las comunicaciones entre dos dispositivos, como un
navegador web y un servidor web, ya sea para recopilar información de uno de los dispositivos o
para hacerse pasar por uno de ellos.

Este tipo de ataque también se conoce como ataque de hombre en el medio o de hombre en el
móvil.

Seleccione las imágenes para obtener más información sobre ellas.

HOMBRE EN EL MEDIO (MITM)

Un ataque MiTM ocurre cuando un ciberdelincuente toma el control de un dispositivo sin que el
usuario lo sepa. Con ese nivel de acceso, el atacante puede interceptar y capturar información sobre
el usuario antes de retransmitirla a su destino. Estos tipos de ataques se utilizan a menudo para
robar información financiera.

Hay muchos tipos de malware que poseen capacidades de ataque MiTM.

HOMBRE EN EL MOVIL (MITMO)

Una variación del hombre en el medio, el MitMo es un tipo de ataque utilizado para tomar el control
de un dispositivo móvil. Cuando está infectado, el dispositivo móvil recibe instrucciones de filtrar
información confidencial del usuario y enviarla a los atacantes. ZeUS es un ejemplo de paquete de
malware con capacidades MitMO. Permite a los atacantes capturar silenciosamente los mensajes
SMS de verificación en dos pasos que se envían a los usuarios.

2.2.6 Envenenamiento SEO

Probablemente hayas oído hablar de la optimización de motores de búsqueda o SEO que, en
términos simples, se trata de mejorar el sitio web de una organización para que gane una mayor
visibilidad en los resultados de los motores de búsqueda.

Entonces, ¿qué crees que podría ser el envenenamiento por SEO? Tómese un momento para
considerarlo y cuando esté listo, selecciona la imagen para saber si tenía razón.

Los motores de búsqueda como Google funcionan presentando una lista de páginas web a los
usuarios en función de su consulta de búsqueda. Estas páginas web se clasifican de acuerdo con la
relevancia de su contenido.

Aunque muchas empresas legítimas se especializan en la optimización de sitios web para mejorar su
posición, los atacantes utilizan el SEO para hacer que un sitio web malicioso aparezca más arriba en
los resultados de la búsqueda. Esta técnica se denomina envenenamiento SEO.

El objetivo más común del envenenamiento de SEO es aumentar el tráfico a sitios maliciosos que
pueden albergar malware o intentar ingeniería social.

2.2.7 Descifrado de contraseñas de Wi-Fi

Esta es una pregunta de opción múltiple. Una vez que haya seleccionado una opción, seleccione el botón Enviar a continuación.

Disfrutas de tu almuerzo en la cantina cuando un colega se te acerca. Parecen angustiados.

Explican que parece que no pueden conectarse a la red Wi-Fi pública en su teléfono y preguntan si
tiene la contraseña de Wi-Fi privada a mano para que puedan comprobar que su teléfono funciona.

¿Cómo respondería a esto?

Seleccione la respuesta correcta y, luego, Enviar.

«Mmm...» «No estoy seguro de que se nos permita usar la red Wi-Fi privada.» «Déjame consultarlo
primero con mi gerente»

Este colega podría estar llevando a cabo un ataque de ingeniería social, manipulándolo para que
proporcione la contraseña utilizada para proteger la red inalámbrica privada de la organización.
Nunca puedes ser demasiado cuidadoso y, por responder correctamente, has ganado algunos
puntos de defensor. ¡Bien hecho!

Los hackers tienen otras técnicas bajo la manga. Algunos usan ataques de fuerza bruta, probando
posibles combinaciones de contraseñas para intentar adivinar una contraseña. Otros pueden
identificar contraseñas sin cifrar escuchando y capturando los paquetes enviados en la red. Esto se
denomina rastreo de red. Si la contraseña está cifrada, el atacante aún puede revelarla mediante
una herramienta de decodificación de contraseñas.

2.2.8 Ataques de contraseña

Lista de secciones expandibles. Selecciona cada botón para ampliar el contenido.

La introducción de un nombre de usuario y una contraseña es una de las formas más populares de
autenticarse en un sitio web. Por lo tanto, descubrir su contraseña es una forma fácil para que los
ciberdelincuentes accedan a su información más valiosa.

Seleccione los encabezados para obtener más información sobre algunos de los ataques de
seguridad de contraseñas más comunes.

Pulverización de contraseña
Esta técnica intenta obtener acceso a un sistema «rociando» algunas contraseñas de uso común en
un gran número de cuentas. Por ejemplo, un ciberdelincuente utiliza «Password123» con muchos
nombres de usuario antes de volver a intentarlo con una segunda contraseña de uso común, como
«qwerty».

Esta técnica permite que el perpetrador permanezca sin ser detectado, ya que evita los bloqueos
frecuentes de la cuenta.

Ataques de diccionario
Un hacker intenta sistemáticamente todas las palabras de un diccionario o una lista de palabras de
uso común como contraseña en un intento de ingresar a una cuenta protegida con contraseña.

Ataques por fuerza bruta

Son la forma más simple y más utilizada de obtener acceso a un sitio protegido con contraseña. Los
ataques de fuerza bruta ven a un atacante utilizando todas las combinaciones posibles de letras,
números y símbolos en el espacio de contraseñas hasta que lo hacen bien.

Ataques arco iris

Las contraseñas de un sistema informático no se almacenan como texto sin formato, sino como
valores con hash (valores numéricos que identifican datos de forma única). Una tabla arcoíris es un
gran diccionario de valores hash precalculados y las contraseñas a partir de las cuales se calcularon.

A diferencia de un ataque de fuerza bruta que tiene que calcular cada hash, un ataque de arco iris
compara el hash de una contraseña con los almacenados en la tabla rainbow. Cuando un atacante
encuentra una coincidencia, identifica la contraseña utilizada para crear el hash.

Interceptación de tráfico
El texto sin formato o las contraseñas sin cifrar pueden ser leídas fácilmente por otras personas y
máquinas al interceptar las comunicaciones.

Si almacena una contraseña en texto claro y legible, cualquier persona que tenga acceso a su
cuenta o dispositivo, ya sea autorizado o no, podrá leerlo.

2.2.9 Tiempos de craqueo

Matching. Select from lists and then submit.

Parece que los hackers están intentando todo para descifrar la contraseña de Wi-Fi privada de
@Apollo. ¡Tenemos que asegurarnos de que la contraseña sea lo suficientemente fuerte como para
resistir su ataque!

Eche un vistazo a las siguientes contraseñas. Haz clic en los números para ponerlos en el
orden correcto de acuerdo con el tiempo que crees que le llevaría a un atacante descifrar cada uno
usando fuerza bruta, donde 1 es la cantidad de tiempo más corta y 4, la más alta.

Llevar a cabo ataques de fuerza bruta implica que el atacante intente varias combinaciones posibles
en un intento de adivinar la contraseña. Estos ataques generalmente involucran un archivo de lista
de palabras, un archivo de texto que contiene una lista de palabras de un diccionario. Un programa
como Ophcrack, L0phtCrack, THC Hydra, RainbowCrack o Medusa probará cada palabra y
combinación común hasta que encuentre una coincidencia.

Debido a que los ataques de fuerza bruta toman tiempo, las contraseñas complejas toman mucho
más tiempo adivinar.

2.2.10 Amenazas persistentes avanzadas

Los atacantes también logran infiltrarse a través de amenazas persistentes avanzadas (APT): una
operación avanzada, sigilosa, de múltiples fases y a largo plazo contra un objetivo específico. Por
estas razones, un atacante individual a menudo carece de las habilidades, los recursos o la
persistencia para realizar APTs.

Debido a la complejidad y al nivel de habilidad requerido para llevar a cabo un ataque de este tipo,
una APT generalmente está bien financiada y generalmente apunta a organizaciones o naciones por
razones comerciales o políticas.

Su objetivo principal es implementar malware personalizado en uno o más de los sistemas del
objetivo y permanecer allí sin ser detectado.
2.2.11 Depende de usted ...
¡Uf! Eso es mucho para asimilar y los hackers ciertamente tienen muchas herramientas a su
disposición. Es importante que sepa cuáles son estos para que pueda protegerse a sí mismo y a
@Apollo.

Recuerde algunas de las actividades sospechosas que ha visto recientemente en la organización.

Según lo que ha aprendido en este tema, ¿qué tipo de ataque podría ser cada uno de estos
escenarios? Tómese su tiempo con este. Tiene la oportunidad de ganar algunos puntos de defensor
que tanto necesita.

Seleccione la respuesta correcta en cada lista desplegable y, a continuación, Enviar.

De camino a la oficina, una persona a la que nunca ha visto antes le pide que sostenga la puerta;
olvidó su tarjeta de acceso.
Ingeniería social
Ha empezado a recibir un mensaje de error al acceder a su ordenador: «Se ha interrumpido la
conexión. Se detectó un cambio en la red.
DoS
Buscó el sitio web de @Apollo en Google, pero cuando hizo clic en el resultado principal, se le
redirigió a una página de publicidad de software antivirus
Envenenamiento SEO

Pudo identificar los ataques potenciales que podrían estar ocurriendo justo delante de sus narices.
Recuerde, es importante mantenerse alerta y tener en cuenta todas las formas en que los atacantes
intentan atraparlo. Tenga en cuenta que muchos ataques modernos implican una combinación de
estos métodos, y los ciberdelincuentes a menudo utilizan múltiples técnicas para infiltrarse y atacar
un sistema.