Bienvenidos

Curso de Ethical Hacking

Clase N°2
CHE-002 Taller de Reconocimiento y Recopilación de Inteligencia: Ingeniería
Social y Técnicas de Enumeración.

Profesor: Mg. Ing. Sebastián Vargas

Profesor: Mg. Ing. Julio Briones
Agenda

• MIERCOLES 27 MARZO 2024

• CHE-001 Taller de Reconocimiento y Recopilación de Inteligencia: Ingeniería Social y Técnicas de Enumeración.

• Reconocimiento y Footprinting

• Escaneo de redes

• Enumeración
Motivación del ataque

Ataques = Motivo (Objetivo) + Método + Vulnerabilidad

• El motivo se origina en la noción de que el sistema objetivo almacena o procesa algo valioso, y esto lleva a la amenaza de un
ataque al sistema.

• Los atacantes prueban varias herramientas y técnicas de ataque para explotar las vulnerabilidades de un sistema informático o su
política y controles de seguridad con el fin de cumplir sus motivos

¿Cuales son los motivos de los ataques a la

seguridad de la información y ciberseguridad?
Clasificación de los ciberataques
Según la IATF, los ataques a la seguridad se clasifican en cinco categorías: pasivos,
activos, de proximidad, internos y de distribución.

01 Pasivos 04 Internos
Footprinting, Sniffing y espionaje, análisis del tráfico de
Robo de dispositivos físicos, Ingeniería social, Robo y exfiltración de
red y desencriptación del tráfico débilmente
datos, Implantación de keyloggers, backdoors o malware
encriptado

02 Activos
05 De Distribución
Ataque de denegación de servicio (DoS), evasión de los Los ataques de distribución se producen cuando los atacantes manipulan
mecanismos de protección, ataques de malware (como el hardware o el software antes de su instalación. Los atacantes
virus, gusanos, ransomware), modificación de la manipulan el hardware o el software en su origen o cuando está en
información, ataques de suplantación de identidad o tránsito
ataques de repetición entre otros

03 De proximidad
Social engineering (Eavesdropping, shoulder surfing,
dumpster diving, and other methods)
Actores de amenazas

Un actor de amenazas o actor malintencionado se define como una entidad que es total o parcialmente responsable de un evento que puede influir en la
seguridad de la red de una organización. A diferencia del hacker o atacante, no es importante que el actor de amenazas tenga habilidades técnicas. Los actores
de amenazas podrían ser una persona, o una organización, que tenga la intención de llevar a cabo un incidente que pueda tener un efecto malicioso o benigno
en la seguridad de la infraestructura o los sistemas de una organización.

Hacktivist Cyber Terrorists Suicide Hackers State-Sponsored

Hackers

Organized Hackers Script kiddies Industrial Spies Insiders

Máster Universitario en Ciberseguridad, Ciberterrorismo y Ciberguerra.

Vectores de ataque de seguridad de la
información

Cloud Computing Threats Amenazas persistentes Ataque interno

avanzadas (APT): Phishing

Virus y gusanos Ransomware Botnet Amenazas a las

aplicaciones web

Amenazas del IoT Amenazas Mobiles

 APT
Una amenaza persistente avanzada (APT, por sus siglas en inglés) es una forma de ataque cibernético altamente
sofisticada y dirigida que tiene como objetivo penetrar en los sistemas de una organización con el fin de robar
información valiosa o causar daño.

FUENTE:
FIGURE 2. WHAT IS AN ADVANCED PERSISTENT THREAT (APT)?
HTTPS://WWW.VARONIS.COM/BLOG/ADVANCED-PERSISTENT-THREAT

Máster Universitario en Ciberseguridad, Ciberterrorismo y Ciberguerra.

Definición de amenazas persistentes
avanzadas
Las amenazas persistentes avanzadas (APT) se definen como un tipo de ataque de
red, donde un atacante obtiene acceso no autorizado a una red de destino y
permanece allí sin ser detectado durante un largo período de tiempo.

El objetivo principal detrás de estos ataques es obtener información confidencial en

lugar de sabotear la organización y la red de la organización.

Información obtenida durante los ataques de APT

✓ Documentos clasificados
✓ Credenciales de usuario
✓ Información personal del empleado o cliente
✓ Información de red
✓ Información de la transacción
✓ Información de la tarjeta de crédito
✓ Información sobre la estrategia comercial de la organización
✓ Información de acceso al sistema de control
Características de las amenazas
persistentes avanzadas
1 Evadir los sistemas de detección
Objetivos 7 Puntos de originación de 13
basados en firmas
ataques
Señales de advertencia específicas
2 Puntualidad 8 Los números evolucionaron en 14
el ataque

3 Recursos 9 Fuente del conocimiento

4 Tolerancia al riesgo
10 Multi-Fases

5 Habilidades y
métodos
11 Adaptado a las vulnerabilidades

6 Acciones 12 Múltiples puntos de

entrada
Ciclo de vida avanzado de amenazas
persistentes
TTP

Tácticas, Técnicas,
y Procedimientos (TTPs) se refiere a los patrones
de actividades y métodos asociados con actores
o grupos de actores de amenazas específicos.

Tácticas
"Tácticas" son las directrices que describen la forma en que un atacante realiza el ataque de principio a fin

Técnicas
"Técnicas" son los métodos técnicos utilizados por un atacante para lograr resultados intermedios durante
el ataque
Procedimientos
Los "procedimientos" son enfoques organizativos que los actores de amenazas siguen para lanzar un
ataque
Comprensión de la Cyber Kill
Chain

Comprensión de la Metodología
Cyber Kill Chain
Cyber Kill Chain
La persistencia de las amenazas, indica que uno debe empezar a tomar otras medidas, dejar de reaccionar, si no
que anticipar y proactivamente defender.
The Cyber Kill Chain es un proceso de defensa impulsado por la inteligencia desarrollado por Lockheed Martin que permite a los profesionales de la seguridad de la
información mitigar proactivamente las amenazas avanzadas.

• El área de Defensa debe alinearse con el cyber kill chain del atacante. Al comprender cada proceso, pueden identificar TTPs, parchear vulnerabilidades de seguridad y
mitigar amenazas futuras.

• Impedir que un actor de amenaza ejecute una etapa, le aumenta el costo y el esfuerzo para repetir un ataque similar y, por lo tanto, reduce la probabilidad de un ataque
similar.
Pre Ataque Post Ataque

Recon Weaponize Deliver Exploit Install C2 Action

Reconocimiento Investigación, identificación y selección de objetivos. Puede implicar (no esta limitado a) el rastreo de información para
obtención de direcciones de correo electrónico u otra información personal, así como varias formas de ingeniería social .

Investigación,
Armamento identificación y selección de objetivos. El reconocimiento puede implicar el rastreo de sitios web de Internet para direcciones
Desarrollo del arma maliciosa a ocupar por parte del atacante, que le permitirá ganar acceso a la red victima..
de correo electrónico u otra información personal, así como varias formas de ingeniería social.

Entrega Mecanismo de entrega y difusión del armamento al ambiente victima, ejemplos correo electrónico,
via web, via USB.
Cyber Kill Chain
Una etapa de la cadena que se prevenga corrompe la cadena y el ataque en si.
Pre Ataque Post Ataque

Recon Weaponize Deliver Exploit Install C2 Action

Explotación Uso de vulnerabilidades u otros para explotar una aplicación, sistema operativo, usuario u otro para poder hacer
ejecución de más armamento.

Instalación Instalación del mecanismo por el cual el adversario mantendrá persistencia el ambiente víctima.

Comando &
Ejecución de comunicación remota del adversario con el ambiente victima para ganar acceso completo de este.
Control

El actor hace uso privilegios para comenzar las acciones relacionadas con su objetivo, filtrar datos, exponer datos,
Accion causar un corte de la red, encriptar datos, en algunos casos podría ser solo el punto inicial de un ataque a mayor escala.
Análisis de la Cadena – Caso Target
Comprensión de la Cyber Kill
Chain

Fases del Ethical Hacking (CEH)

Fases

Reconoci- Obtener Mantener Borrar

Escaneo
miento Accesos Accesos Huellas
Comprensión de la Cyber Kill
Chain

Fase 1: Reconocimiento
Reconocimiento o Footprinting

El footprinting y el recocimiento es el primer paso de cualquier ataque a sistemas de información en el que un atacante recopila información sobre
una red objetivo para identificar varias formas de intrusión en el sistema.

Footprinting o Reconocimiento Pasivo: Footprinting o Reconocimiento Activo:

• Obtener información sobre el objetivo sin interacción directa. • Obtener información sobre el objetivo con alguna interacción
directa.
Información obtenida en el Footprinting y Reconocimiento
Información de la organización
➢ Datos de los empleados, números de teléfono, ubicación, antecedentes de la organización, tecnologías web, etc.
Información de la red
➢ Dominio y subdominios, bloques de red, direcciones IP de los sistemas accesibles, registro Whois, DNS, etc.
Información del sistema
➢ Sistema operativo y ubicación de los servidores web, usuarios y contraseñas,
Objetivos del Footprinting y Reconocimiento
➢ Conocimiento de la postura de seguridad
➢ Reducción del área de enfoque
➢ Identificación de las vulnerabilidades
➢ Trazado del mapa de la red
Comprensión de la Cyber Kill
Chain

Comprensión de la Ingeniería Social

¿Qué es la Ingeniería Social?

❑ La ingeniería social es el arte de

convencer a las personas para que
revelen información confidencial

❑ Los ingenieros sociales dependen del

hecho de que las personas desconocen la
valiosa información a la que tienen
acceso y son descuidados a la hora de
protegerla.
Objetivos comunes de la ingeniería social

1 Recepcionistas y personal de asistencia

2 Ejecutivos de Soporte Técnico

3 Administradores de sistemas

4 Usuarios y Clientes

5 Proveedores de la organización objetivo

6 Altos ejecutivos
Impacto del ataque de ingeniería social en una
organización

1 2 3
Pérdidas Daño en la Pérdida de
económicas confianza privacidad

4 5 6
Peligros del Demandas y Cierre temporal o
terrorismo arbitrajes permanente
Comportamientos vulnerables a los ataques

Autoridad Urgencia

Intimidación Familiaridad o gusto

Consenso o prueba social Confianza

Escasez Codicia
Factores que hacen que las empresas sean
vulnerables a los ataques

Formación insuficiente en 1 2 Acceso no regulado a la

materia de seguridad información

3 4
Varias unidades
Falta de políticas de seguridad
organizativas
¿Por qué es efectiva la ingeniería social?

La ingeniería social no se ocupa de los problemas de seguridad de la red; En cambio, se trata

de la manipulación psicológica de un ser humano para extraer la información deseada.

01 Las políticas de seguridad son tan fuertes como su eslabón más

débil, y el comportamiento humano es el factor más susceptible.

02 Es difícil detectar intentos de ingeniería social

No existe un método que se pueda aplicar para garantizar la

03 seguridad completa de los ataques de ingeniería social

No existe un software o hardware específico para defenderse contra un

04 ataque de ingeniería social.
TIPOS DE INGENIERÍA SOCIAL

PRETEXTING BAITING
1 Un ciberdelicuente crea un escenario creible
para lograr que su victima le brinde acceso a sus
Un ciberdelicuente coloca memorias externas
(USB) con malware previamente instalado en
computador o espacio de trabajo con el fin de lugares donde las personas escogidas
robar Informacion o instalar un software para especificamente no puedan encontrarlas y asi
posteriormente robar información. infectar sus equipos.

TAILGATING PHISHING
El ciberdelicuente aprovechando la solidaridad o
El ciberdelicuente engaña a un grupo masivo de
inconciencia de un empleado, este puede evadir
personas mediante correos electronicos, paginas
los controles de acceso fisico como puertas
web, Perfiles sociales o SMS falsos con el fin de
electrónicas e ingresar a una organizacion sin
robar Informacion confidencial.
autorización.

DUMPSTER DIVING VISHING

3
Muchas organizaciones desechan documentos Llamadas telefonicas mediante las cuales se
con información sensible de forma insegura, los busca engañar a la victima suplantando a
cuales podrian ser encontrados por atacantes companies de Servicios o de gobierno para que
que buscan en estos desechos. revele Informacion privada.

SHOULDER SURFING REDES SOCIALES

Literalmente, mirar por encima del hombre a
un usuario descuidado mientras ingresa el
4 Los Perfiles sociales revelan una gran cantidad
de informacion de la victima desde direcciones
patron de desbloqueo, PIN o alguna otra de correo y numeros de teléfono hasta
contraseña. aspectos personales y profesionales.
 Ataques por Correo Electrónico
#1 Suplantación Dominio

• Suplantar empresas sobre todo

bancarias y hacerlas pasar
como una entidad confiable.

• Robar claves iniciales de

accesos para así poder tener
acceso a sus cuentas
personales.
 Ataques por Correo Electrónico
#2 Sensacionalista
• Las víctimas descargan un malware y así
un virus que se llama keylogger.
• El keylogger lo que hace en el equipo de
su víctima recopila todo lo que escribe y
graba imágenes, posteriormente estas
son utilizadas por los ciberdelincuentes.
 Ataques por Correo Electrónico

# 3 Fraude del CEO

• El ciberdelincuente envía un email a un
empleado que generalmente trabaja en áreas
de contabilidad o finanzas, haciéndose pasar
por el CEO de la empresa.
• Habitualmente nunca va copiada otra
persona y siempre el canal del texto es algo
privado y discreto, en donde sólo deben
hablar por este medio.
 Ataques por Correo Electrónico
# 4 SMISHING
• El Phishing por SMS o Smishing es
una forma de estafa por mensajes
de texto a los equipos móviles y
que aprovecha los mensajes de
texto y las comunicaciones
instantáneas.
• El mensaje siempre envía un link
con una dirección no propia del
banco y lo que busca
principalmente que ingresen sus
credenciales, usuario y contraseña.
 Ataques por Correo Electrónico
# 5 SPEAR PHISHING
• Se dirige a personas específicas
dentro de las organizaciones,
utilizan técnicas de ingeniería social
para adaptar y personalizar los
correos.

• Para estos casos simula un mensaje

conocido y que instruye a realizar
una acción en la cual solicita
ingresas credenciales del dominio.
Ataques por Llamadas telefónicas
# 6 VISHING
• Un ataque Vishing ocurre cuando un
delincuente llama por teléfono para
obtener información personal o
financiera.
• Acá aplica el famoso “cuento del tío” en
el cual los delincuentes hacen simular
que tienen todos sus datos y con
preguntas particulares generan confianza
con sus víctimas.
 Ataques por Correo Electrónico
# 7 Scam

• Engañar y estafar con múltiples

ganchos: premios de lotería,
herencias, ofertas de empleos, etc.

• Uno de los ejemplos más

conocidos es el Príncipe
Nigeriano, Timo nigeriano y Estafa
nigeriana.
Ataques por Correo Electrónico
# 8 Sextorsión
• Extorsionar con un supuesto video
privado o comprometedor.

• Difusión en las redes sociales y

correo electrónico a contactos y
conocidos de la víctima.

• Habitualmente le pago debe ser en

Bitcoin (sistema de pago no
rastreable).
Comprensión de la Cyber Kill
Chain

Realizar huella a través de servicios web y sitios de redes

sociales
Metodología de Footprinting y
Reconocimiento
Esto Implica la recopilación de información sobre una organización objetivo, como URLs, ubicaciones, detalles del
establecimiento, número de empleados, rango específico de nombres de dominio, información de contacto y otra
información relacionada. Los atacantes recopilan esta información de fuentes de acceso público, como motores de
búsqueda, sitios de redes sociales, bases de datos Whois, etc. En esta sección se analizan las técnicas más comunes
utilizadas para recopilar información sobre la organización objetivo a partir de diferentes fuentes.

➢ Footprinting y Reconocimiento a través de motores de búsqueda

➢ Footprinting y Reconocimiento a través de servicios web
➢ Footprinting y Reconocimiento a través de las redes sociales
➢ Footprinting y Reconocimiento de sitios web
➢ Footprinting y Reconocimiento de correo electrónico
➢ Footprinting y Reconocimiento de Whois
➢ Footprinting y Reconocimiento de DNS
➢ Footprinting y Reconocimiento de redes
➢ Footprinting y Reconocimiento mediante ingeniería social
Metodología de Footprinting y
Reconocimiento
LinkedIn o Facebook, libros abiertos con tu
información

¿Qué información de un usuario podemos obtener de su perfil ¿Qué información podemos obtener de un usuario en
LinkedIn?
de facebook?
– Nombre completo – Nombre completo

– Estudios – Lugar de trabajo

– Gustos
– Lugares donde ha trabajado
– Hobbies
– Red de contactos
– Nombre de pareja
– Mascota – Conocimientos
– Amigos – Lugares de estudio
– Etc.
– Grupos de interés

– Etc.
Open Source Intelligence
OSINT – Open Source Intelligence
• Es un termino utilizado para definir el proceso de búsqueda recolección y análisis de datos desde
fuentes abiertas (no clasificadas), consiste principalmente en recolectar y correlacionar la mayor
información posible de un objetivo.

Métodos de Búsqueda Pasivo o Activo

• Automático con ayuda de herramientas e IA
• Técnicas manuales y métodos de búsqueda
Osint Framework
OSINT Framework
• Librería que recopila diversas fuentes y herramientas para la búsqueda de información

https://osintframework.com/
Fuentes de inteligencia de amenazas

La información se extrae de las fuentes La información se recoge a partir de La información se obtiene

públicas disponibles y se analiza para contactos interpersonales. interceptando las señales.
obtener una forma de información
muy útil. La señal, la inteligencia comprende
de:
Fuentes de inteligencia de amenazas

La información se recoge del equipo del La información se recopila mediante la La información se recoge de los objetos
adversario o del material enemigo explotación y evaluación de la información que se utilizan para reproducir el
capturado (CEM). geoespacial para evaluar las actividades escenario real electrónicamente
humanas en la tierra. mediante un tipo de medio o dispositivo
electrónico
Fuentes GEOINT:

Fuentes IMINT:
Fuentes de inteligencia de amenazas

La información se recopila de los sensores destinados a registrar características distintivas (firmas) de

objetivos fijos o dinámicos
Fuentes (MASINT):

La información se recopila de forma encubierta de la persona al mantener una relación personal o de otro
tipo con la persona objetivo.

CHIS generalmente se refiere a una persona o un agente bajo la regulación de la Ley de Poderes de
Investigación 200 (RIPA), Reino Unido.

Las fuentes CHIS son las personas objetivo de las que se extraerá la información.

Se recopila información sobre los asuntos financieros y las transacciones del adversario que pueden implicar
evasiones de impuestos, lavado de dinero, etc., lo que a su vez proporciona información sobre la naturaleza, las
capacidades y las intenciones del adversario.
Fuentes de FININT:
Fuentes de inteligencia de amenazas

La información se recopila de sitios de La información se recopila de la La información se recopila de las

redes sociales y otros tipos de fuentes infraestructura de seguridad amenazas y brechas de seguridad de la
de redes sociales. establecida de forma proactiva o red y también de las alertas generadas
mediante el empleo de diversas en la infraestructura de seguridad, que
Fuentes (SOCINT): técnicas de manipulación de amenazas probablemente indicarán una
para atraer y atrapar amenazas. intrusión.

Fuentes (CCI): Fuentes (IOCs):

Fuentes de inteligencia de amenazas

La información se recopila de
La información se recopila de varias La información se recopila de fuentes
entidades comerciales y proveedores
comunidades de intercambio de gubernamentales y policiales
de seguridad que proporcionan la
inteligencia de amenazas donde las
información sobre amenazas a varias
organizaciones comparten información
organizaciones.
de inteligencia entre sí. Fuentes de gobiernos:

Fuentes de la comunidad vertical:

Fuentes comerciales:
Comprensión de la Cyber Kill
Chain

Google Hacking
Google Hacking Database
Fuente: https://www.exploit-db.com

La Base de Datos de Hacking de Google (GHDB) es una fuente autorizada para consultar el alcance cada vez mayor del motor de
búsqueda de Google. En la GHDB, encontrará términos de búsqueda para archivos que contienen nombres de usuario, servidores
vulnerables e incluso archivos que contienen contraseñas. La base de datos de exploits es un archivo de vulnerabilidades y
exposiciones comunes (CVE) que cumple con los exploits públicos y el software vulnerable correspondiente, desarrollado para ser
utilizado por los probadores de penetración y los investigadores de vulnerabilidades.

https://www.exploit-db.com
Footprinting y reconocimiento utilizando técnicas
avanzadas de Google Hacking

El Google Hacking se refiere al uso de operadores de búsqueda avanzados de Google para crear consultas de
búsqueda complejas para extraer información sensible u oculta que ayude a los atacantes a encontrar objetivos
vulnerables.
Nota: Según la documentación de Google, "no se puede combinar una búsqueda de enlace: con una búsqueda regular de palabras clave".

➢ allinurl: Este operador restringe los resultados a sólo las páginas que contienen todos los términos de la consulta especificados en la URL.
Por ejemplo, la consulta [allinurl: google career] sólo devuelve las páginas que contienen las palabras "google" y "career" en la URL.

➢ inurl: Este operador restringe los resultados a las páginas que contienen la palabra especificada en la URL.
Por ejemplo, la consulta [inurl: copy site:www.google.com] devuelve sólo las páginas de Google en las que la URL tiene la palabra "copy".

➢ allintitle: Este operador restringe los resultados a sólo las páginas que contienen todos los términos de la consulta especificados en el título.
Por ejemplo, la consulta [allintitle: detectar malware] devuelve sólo las páginas que contienen las palabras "detectar" y "malware" en el título.

➢ íntitle: Este operador restringe los resultados a sólo las páginas que contienen el término especificado en el título.
Por ejemplo, la consulta [malware detection intitle:help] devuelve sólo las páginas que tienen el término "help" en el título, y los términos "malware" y
"detection" en cualquier lugar de la página.
 Footprinting y reconocimiento utilizando técnicas
avanzadas de Google Hacking (Continuación)

➢ inanchor: Este operador restringe los resultados a sólo las páginas que contienen los términos de la consulta especificados en el texto
de anclaje de los enlaces a la página.
Por ejemplo, la consulta [Anti-virus inanchor:Mcfee] devuelve sólo las páginas con texto ancla en los enlaces a las páginas que
contienen la palabra "Norton" y la página que contiene la palabra "Anti-virus".

➢ allinanchor: Este operador restringe los resultados a sólo las páginas que contienen todos los términos de la consulta especificados en
el texto ancla de los enlaces a las páginas.
Por ejemplo, la consulta [allinanchor: mejor proveedor de servicios en la nube] devuelve sólo las páginas cuyo texto de anclaje en
los enlaces a las páginas contiene las palabras "mejor", "nube", "servicio" y "proveedor".

➢ caché: Este operador muestra la versión en caché de Google de una página web en lugar de la versión actual de la misma.
Por ejemplo, [cache:www.eff.org) mostrará la versión en caché de Google de la página principal de la Electronic Frontier Foundation.

➢ Link: Este operador busca sitios web o páginas que contengan enlaces al sitio web o a la página especificados.
Por ejemplo, [link:www.googleguide.com) encuentra páginas que apuntan a la página principal de Google Guide.
Comprensión de la Cyber Kill
Chain

Footprinting y reconocimiento a través de los motores de búsqueda

Footprinting y reconocimiento a través de los
motores de búsqueda
Los atacantes utilizan los motores de búsqueda para extraer información sobre un objetivo, como las plataformas
tecnológicas empleadas, los datos de los empleados, las páginas de inicio de sesión y los portales de intranet, que ayudan
al atacante a realizar ingeniería social y otros tipos de ataques avanzados al sistema.

búsqueda avanzada disponibles en estos

01
➢ Los atacantes pueden utilizar los operadores de
02
➢ Los motores de búsqueda también se utilizan
para encontrar otras fuentes de recursos de
motores de búsqueda y crear consultas información de acceso público, por ejemplo, se
complejas para encontrar, filtrar y ordenar puede escribir "top-ten portales de trabajo" para
información específica sobre el objetivo. encontrar los principales portales de empleo que
proporcionan información crítica sobre la
organización objetivo.
Motores de búsqueda mas utilizados en el
mundo

Fuente: https://gs.statcounter.com/search-engine-market-share
https://intelx.io/tool

IntelligenceX nos permite realizar cualquier búsqueda OSINT, destacando por su rapidez y por combinar un enorme número de fuentes. También es
reseñable su simplicidad de uso y la gran capacidad de filtrado que permite, produciendo búsquedas tan generales o específicas como necesitemos.

Además, esta herramienta es capaz de buscar en fuentes normalmente poco visibles, como la Deep Web, así como en redes aisladas como la de Korea del
Norte.

Esta herramienta se encuentra en intelx.io y si hacemos clic sobre la URL se nos presentará una pantalla de búsqueda al estilo Google o Bing.
Comprensión de la Cyber Kill
Chain

Footprinting y reconocimiento a través de correos electronicos

Seguimiento de las comunicaciones por
correo electrónico
La dirección desde la que
se envió el mensaje

Fecha y hora de recepción en los servidores

El seguimiento del correo electrónico se utiliza de correo electrónico del remitente
Dirección IP del remitente
para supervisar la entrega de correos electrónicos
a un destinatario previsto.
Servidor de correo del remitente

Los atacantes rastrean los correos electrónicos

para recopilar información sobre el destinatario,
como direcciones IP, geolocalización, detalles del
navegador y del sistema operativo, para construir Sistema de autenticación utilizado por
el servidor de correo del remitente
una estrategia de hacking y realizar ingeniería
social y otros ataques de este tipo.

Nombre completo del remitente

Fecha y hora de envío del

mensaje
Herramientas de seguimiento del correo
electrónico
Las herramientas de rastreo de correo electrónico, como eMailTrackerPro, Infoga, Mailtrack y PoliteMail, permiten a un atacante rastrear un correo
electrónico y extraer información, como la identidad del remitente, el servidor de correo, la dirección IP del remitente y la ubicación.

EMailTrackerPro analiza las cabeceras de los correos electrónicos y revela información, como la ubicación geográfica y la dirección IP del remitente.
Comprensión de la Cyber Kill
Chain

Footprinting y Reconocimiento en Whois, DNS y de red

Whois Lookup
Las bases de datos Whois son mantenidas por los Registros Regionales de Internet y
contienen información personal de los propietarios de los dominios.

La consulta de Whois devuelve: La información obtenida de la base de Regional Internet Registries (RIRs)
datos Whois ayuda a un atacante a:

➢ Detalles del nombre de dominio

➢ Datos de contacto de los ➢ Reunir información personal que

propietarios de los dominios ayude a la ingeniería social

➢ Servidores de nombres de dominio ➢ Crear un mapa de la red de la

Red organización objetivo

➢ Rango Cuando se creó un dominio ➢ Obtener detalles internos de la

red objetivo
➢ Registros de caducidad

➢ Último registro actualizado

DNS Footprinting
➢ Los registros DNS proporcionan información importante sobre la localización y los tipos de servidores.
➢ Los atacantes pueden recopilar información del DNS para determinar los hosts clave de la red y pueden realizar ataques de ingeniería social.
DNS Footprinting (Cont)
➢ Los atacantes consultan los servidores DNS utilizando herramientas de lnterrogación DNS, como Professionat
Toolset y DNS Records, para retener la estructura de registros que contiene información sobre el DNS objetivo.
Comprensión de la Cyber Kill
Chain

Utilice diferentes herramientas de Footprinting y Reconocimiento

Footprinting Tools: Maltego
Fuente: https://www.paterva.com
Maltego es un programa que puede utilizarse para determinar las relaciones y los vínculos del mundo real entre personas, grupos de
personas, organizaciones, sitios web, infraestructura de Internet, documentos, etc.
Los atacantes pueden utilizar diferentes entidades disponibles en la herramienta para obtener información como direcciones de correo
electrónico, una lista de números de teléfono y la infraestructura de Internet del objetivo (dominios, nombres DNS, Netblocks, información
de direcciones IP).
Como se muestra en la captura de pantalla, los atacantes añaden una entidad Persona, la renombran con el nombre del objetivo y obtienen
las direcciones de correo electrónico asociadas al objetivo.
Footprinting Tools: Recon-ng
Fuente: https://github.com
Recon-ng es un marco de reconocimiento web con módulos independientes para la interacción con la base de datos que proporciona un entorno en el que se
puede llevar a cabo un reconocimiento basado en la web de código abierto.
Como se muestra en la captura de pantalla, los atacantes utilizan el módulo recon/domains-hosts/hackertarget para extraer una lista de subdominios y
direcciones IP asociadas a la URL objetivo.
Footprinting Tools: OSRFramework
Fuente: https://github.com
OSRFramework incluye aplicaciones relacionadas con la comprobación de nombres de usuario, búsquedas de DNS, investigación de fugas de información, búsqueda
profunda en la web y extracción de expresiones regulares.
Footprinting Tools: TheHarvester
El objetivo de este programa es recopilar correos electrónicos, subdominios, hosts, nombres de empleados, puertos abiertos y banners de diferentes fuentes públicas como motores
de búsqueda, servidores de claves PGP y la base de datos informática SHODAN.

Esta herramienta está pensada para ayudar a los probadores de penetración en las primeras etapas de la prueba de penetración con el fin de entender la huella del cliente en
Internet. También es útil para cualquiera que quiera saber lo que un atacante puede ver sobre su organización.
Comprensión de la Cyber Kill
Chain

Aplicar las mejores prácticas de Footprinting y Reconocimiento.

Contramedidas Footprinting y Reconocimiento

Restringir el acceso de los empleados a las redes sociales desde la red de la organización.

Configurar los servidores web para evitar la fuga de información.

Educar a los empleados para que utilicen seudónimos en blogs, grupos y foros.

No revelar información crítica en comunicados de prensa, informes anuales, catálogos de productos, etc.

Limitar la cantidad de información publicada en el sitio web/la red.

Utilizar técnicas de footprinting para descubrir y eliminar cualquier información sensible disponible públicamente.

Evitar que los motores de búsqueda almacenen en caché una página web y utilizar servicios de registro anónimos.
Comprensión de la Cyber Kill
Chain

Fase 2: Escaneo
Visión general de la exploración de la red
➢ El escaneo de red se refiere a un conjunto de procedimientos utilizados para identificar hosts, puertos y servicios en una
red.
➢ El escaneo de la red es uno de los componentes de la recopilación de inteligencia que puede utilizar un atacante para
crear un perfil de la organización objetivo.

Proceso de escaneo de red

Objetivos de la exploración de la red

➢ Descubrir hosts en vivo, direcciones IP y puertos abiertos de hosts en vivo.
➢ Descubrir los sistemas operativos y la arquitectura del sistema.
➢ Descubrir los servicios que se ejecutan en los hosts.
➢ Descubrir vulnerabilidades en hosts en vivo.
EL MODELO OSI

El modelo de Interconexión de Sistemas Abiertos (OSI) se utiliza para describir protocolos de red. Debido a que rara vez se implementa en
redes reales, se considera una referencia para estandarizar el desarrollo de las redes reales. OSI fue la primera definición abierta no
propietaria para redes.
El modelo OSI define grupos de funcionalidad requeridos para los equipos de la red en capas, con cada capa implementando un protocolo
estándar para su funcionalidad. Hay siete capas del modelo OSI, que se muestran en la figura.

Cada capa OSI realiza una función específica para la red:

La capa física—Gestiona señales entre los sistemas de red.

La capa de enlace de datos—Divide los datos en tramas que pueden ser
transmitidas por la capa física .
La capa de red—Traduce direcciones de red y dirige los datos del emisor al
receptor.
La capa de transporte—Asegura que los datos se transfieren de forma fiable
en la secuencia correcta.
La capa de sesión—Coordina y gestiona las conexiones de usuario.
La capa de presentación—Da formato, cifra y comprime los datos.
La capa de aplicación—Media entre aplicaciones de software y otras capas de
servicios de red.
EL MODELO OSI (continuación)
Lo básico de Redes
Lo básico en redes (Saludo de tres vías)
Redes (TCP - UDP)
Puertos TCP/IP

¿Pregunta cuantos puertos tcp/ip existen?

Existen miles de puertos (codificados en 16 bits, es decir que se cuenta con 65.536 posibilidades). Es por ello que la
IANA (Internet Assigned Numbers Authority [Agencia de Asignación de Números de Internet]) desarrolló una
aplicación estándar para ayudar con las configuraciones de red.

Los puertos del 0 al 1.023 son los puertos conocidos o reservados. En términos generales, están reservados para
procesos del sistema (daemons) o programas ejecutados por usuarios privilegiados. Sin embargo, un administrador
de red puede conectar servicios con puertos de su elección. Los puertos del 1.024 al 49.151 son los puertos
registrados. Los puertos del 49.152 al 65.535 son los puertos dinámicos y/o privados.
Comprensión de la Cyber Kill
Chain

Comprensión de varias herramientas de escaneo

 Nmap
Los administradores de red pueden usar Nmap para inventariar una red, administrar las programaciones de actualización de
servicio y supervisar el tiempo de actividad del host o servicio.

Los atacantes utilizan Nmap para extraer información como hosts en vivo en la red, puertos abiertos, servicios (nombre de
aplicación y versión), tipos de filtros de paquetes / firewalls, así como el uso de sistemas operativos y versiones.

# # # Escanear una única dirección IP # # # ¿Cómo puedo realizar un análisis rápido?

nmap 192.168 0,1 0,1 nmap-F 192.168.1.1

# # Escanear un nombre de host # # # La forma más rápida para escanear todos los dispositivos / equipos
nmap server1.cyberciti.biz para puertos abiertos a la vez:
nmap-T5 192.168.1.0/24
# # Escanear un nombre de host con más info # # #
nmap-v server1.cyberciti.biz Escanear varias direcciones IP o subred (IPv4)
nmap 192.168.1.1 192.168.1.2 192.168.1.3
# # Trabaja con la misma subred 192.168.1.0/24 es decir:
nmap 192.168.1.1,2,3
Puede escanear un rango de direcciones IP también:
nmap 192.168.1.1-20

https://ipaudita.wordpress.com/2013/02/13/top-30-de-nmap-ejemplos-de-comandos-para-sys-red-admins/
Hping2/Hping3
❑ Herramienta de escaneo de redes de línea de comandos y creación de paquetes para el protocolo TCP/IP.
❑ Se puede utilizar para auditoría de seguridad de red, pruebas de firewall, detección manual de MTU de ruta de
acceso, traceroute avanzado, huellas dactilares remotas del sistema operativo, adivinar el tiempo de actividad
remoto, auditoría de pilas TCP/IP, etc.
Hping comandos
Zenmap

❑ Herramienta que es un cliente gráfico y con los

comandos predeterminados de Nmap. Unas
herramientas que se puede instalar en un sistema
operativo distinto a Linux.
Comprensión de la Cyber Kill
Chain

Técnicas de Descubrimiento del Sistema Operativo

 OS Discovery/Banner Grabbing
❑ El agarre de banner o la huella digital del sistema operativo es el método utilizado para determinar el sistema operativo que se ejecuta en un sistema de
destino remoto. Hay dos tipos de acaparamiento de banner: activo y pasivo.

❑ Identificación del sistema operativo utilizado en el host de destino permite a un atacante averiguar las vulnerabilidades que posee el sistema y las
vulnerabilidades que podrían funcionar en un sistema para llevar a cabo ataques adicionales.

Active Banner Grabbing Passive Banner Grabbing

Los paquetes especialmente diseñados se envían al sistema Banner agarrando de los mensajes de error
operativo remoto y las respuestas se observan. Los mensajes de error proporcionan información como el tipo de
servidor, el tipo de sistema operativo y la herramienta SSL utilizada por
A continuación, las respuestas se comparan con una base de el sistema remoto de destino.
datos para determinar el sistema operativo.
Sniffing el tráfico de red
Las respuestas de diferentes sistemas operativos varían debido Capturar y analizar paquetes desde el destino permite a un atacante
a las diferencias en la implementación de la pila TCP/IP. determinar el sistema operativo utilizado por el sistema remoto.

Banner agarrando de las extensiones de página

Buscar una extensión en la dirección URL puede ayudar a determinar la
versión de la aplicación. Ejemplo: .aspx servidor IIS > y la plataforma
Windows.
Cómo identificar el sistema operativo del sistema
de destino
❑ Los atacantes pueden identificar el sistema operativo que se ejecuta en el equipo de destino mirando el tamaño de la ventana Time To Live (TTL) y TCP en el
encabezado IP del primer paquete en una sesión TCP.
❑ Olfatee/capture la respuesta generada desde la máquina de destino utilizando herramientas de olfateo de paquetes como Wireshark y observe los campos
de tamaño de ventana TTL y TCP.
Cómo identificar el sistema operativo del
sistema de destino
Cómo identificar el sistema operativo del
sistema de destino
OS Discovery usando Nmap y Unicornscan

Con Unicornscan, el sistema operativo de la máquina de destino se puede

identificar observando los valores TTL en el resultado del análisis adquirido.

En Nmap, la opción -O se utiliza para realizar la detección del

sistema operativo, proporcionando detalles del sistema operativo
de la máquina de destino.
Comprensión de la Cyber Kill
Chain

Conceptos de Enumeración
¿Qué es la Enumeración?

➢ La enumeración implica que un atacante crea conexiones activas con un sistema objetivo y realiza consultas dirigidas para obtener más información sobre el objetivo.
➢ Los atacantes utilizan la información extraída para identificar los puntos de ataque del sistema y realizar ataques con contraseña para obtener acceso no autorizado a los
recursos del sistema de información.

➢ Las técnicas de enumeración se llevan a cabo en un entorno de intranet.

Recursos de red

Recursos compartidos de red

Tablas de enrutamiento

Configuraciones de auditorias

Detalles de SNMP y Nombre de dominio (FQDN)

Nombre de maquinas

Usuarios y Grupos

Aplicaciones y Banners
Técnicas de Enumeración

Extraer nombres de usuario Extraer información mediante

mediante ID de correo electrónico. contraseñas predeterminadas.

Fuerza Bruta en Active Directory. Extraer información mediante la

transferencia de zona DNS.

Extraer grupos de usuarios de Extraiga los nombres de usuario

Windows. usando el SNMP.
Servicios y puertos para enumerar
Comprensión de la Cyber Kill
Chain

Comprensión de diferentes técnicas para la enumeración

de NetBIOS
Enumeración de NetBIOS

Un nombre NetBIOS es una cadena única de 16 caracteres ASCII que se utiliza para identificar los dispositivos de la red a través de TCP/IP; se utilizan
quince caracteres para el nombre del dispositivo y el decimosexto carácter se reserva para el servicio o el tipo de registro del nombre.

Los atacantes utilizan la enumeración de NetBIOS para obtener:

⮚ La lista de ordenadores que pertenecen a un dominio.

⮚ La lista de recursos compartidos en los hosts individuales de la red.
⮚ Las políticas y la contraseña.

Nota: Microsoft no admite la resolución de nombres NetBIOS para el Protocolo de Internet versión 6 (1Pv6)
Enumeración de NetBIOS - Continuación

La utilidad nbtstat en Windows muestra las estadísticas del protocolo NetBIOS sobre TCP/IP (NetBT), las tablas de nombres NetBIOS tanto
para el ordenador local como para el remoto, y la caché de nombres NetBIOS.

Ejecute el comando “nbtstat "nbtstat - a <dirección IP de la máquina remota>" para obtener la tabla de nombres NetBIOS de un ordenador remoto.

Ejecute el comando “nbtstat "nbtstat -c" para obtener el contenido de la caché de nombres NetBIOS, la tabla de nombres NetBIOS y sus direcciones IP
resueltas.
Herramientas de Enumeración - Nmap

El script nbstat NSE de Nmap permite a los atacantes recuperar los nombres NetBIOS y las direcciones MAC de los objetivos.

Las siguientes son algunas herramientas adicionales de enumeración de NetBIOS:

⮚ Global Network Inventory (http://www.magnetosoft.com)

⮚ Advanced IP Scanner (http://www.advanced-ip-scanner.com)
⮚ Hyena (https://www.systemtools.com)
⮚ Nsauditor Network Security Auditor (https://www.nsauditor.com)
Enumeración de recursos compartidos
mediante NetView
La utilidad Net View se utiliza para obtener una lista de todos los recursos compartidos de un host o grupo de trabajo remoto.

• net view \\<computername>

• net view /domain:<domain name>
Comprensión de la Cyber Kill
Chain

Comprensión de diferentes técnicas para la enumeración

de SNMP
Enumeración SNMP (Simple Network
Management Protocol)

SNMP (Simple Network Management Protocol) o Protocolo simple de administración de red.

Es un protocolo de la capa de aplicación que facilita el intercambio de información de administración entre dispositivos de red. Los dispositivos
que normalmente soportan SNMP incluyen routers, switches, servidores, estaciones de trabajo, impresoras, bastidores de módem y muchos más.
Permite a los administradores supervisar el funcionamiento de la red, buscar y resolver sus problemas, y planear su crecimiento.

La enumeración SNMP es el proceso de enumerar las cuentas de usuario y los dispositivos en un sistema de destino utilizando SNMP.

SNMP se compone de un gestor y un agente; los agentes están integrados en cada dispositivo de red, y el gestor se instala en un ordenador
aparte.

SNMP mantiene dos contraseñas para acceder y configurar el agente SNMP desde la estación de gestión.

Cadena comunitaria de lectura. Cadena de comunidad de lectura/escritura.

La configuración del dispositivo o sistema se puede ver con la ayuda de La configuración del dispositivo puede ser cambiada o editada con la
esta contraseña. ayuda de esta contraseña.

Estas cadenas son públicas. Estas cadenas son privadas.

Como funciona el protocolo SNMP

Si la cadena de comunidad no coincide con la

cadena almacenada en la información de
administración Base de datos (MIB), luego el host Y
enviará una cadena de comunidad a un
administrador SNMP preconfigurado que indica el
error
Base de información de gestión (MIB)

La MIB es una base de datos virtual que contiene una descripción formal de todos los objetos de red que
pueden ser gestionados mediante SNMP.

La base de datos MIB es jerárquica, y cada objeto gestionado en una MIB se dirige a través de
identificadores de objetos (OID).

Existen dos tipos de objetos gestionados:

- Objetos escalares que definen una única instancia de objeto.
- Objetos tabulares que definen múltiples instancias de objetos relacionados y se agrupan en tablas MIB.

El OID incluye el tipo de objeto MIB, como contador, cadena o dirección; el nivel de acceso, como no
accesible, accesible para notificación, sólo lectura o lectura-escritura; las restricciones de tamaño y la
información de rango.

SNMP utiliza el espacio de nombres jerárquico del MIS que contiene los OID para traducir los números a
una visualización legible para el ser humano.
Herramientas de enumeración SNMP -
snmpcheck
Snmpcheck permite enumerar los dispositivos SNMP y colocar la salida en un formato muy legible y amigable.
Comprensión de la Cyber Kill
Chain

LDAP ENUMERACIÓN
LDAP

Lightweigth directory Access protocol (El protocolo ligero de acceso a directorios) (LDAP) es un protocolo de Internet
para acceder a servicios de directorio distribuidos.

Los servicios de directorio pueden proporcionar cualquier conjunto organizado de registros, a menudo en una
estructura jerárquica y lógica, como un directorio de correo electrónico corporativo.

Un cliente inicia una sesión LDAP conectándose a un directory system agent (agente de sistema de directorio)
(DSA) en el puerto TCP 389 y enviando una solicitud de operación al DSA.

La información se transmite entre el cliente y el servidor utilizando reglas de codificación de base (BER)

Los atacantes consultan el servicio LDAP para recopilar información, como nombres de usuario válidos,
direcciones y detalles departamentales, que pueden utilizarse posteriormente para realizar el ataque.
Herramientas de Enumeración LDAP

El Administrador LDAP de Softerra ofrece varias funciones esenciales para el desarrollo, la implantación y la administración de directorios LDAP.
Comprensión de la Cyber Kill
Chain

Enumeración NTP
NTP (Network time protocol)

El Network Time Protocol (NTP) está diseñado para sincronizar Los atacantes consultan el servidor NTP
los relojes de los ordenadores conectados en red. para obtener información valiosa, como:

⮚ Lista de hosts conectados.

⮚ Direcciones IP de clientes en una red,

Utiliza el puerto UDP 123 como principal medio de sus nombres de sistema y sistemas
comunicación. operativos.

⮚ También se pueden obtener IPs

internas si el servidor NTP está en la
zona desmilitarizada (DMZ).
NTP puede mantener la hora con una precisión de 10
milisegundos (1/100 segundos) en la Internet pública.

Esto puede lograr precisiones de 200 microsegundos o mejor en

las redes de área local en condiciones ideales.
Comandos de Enumeración NTP

Estas consultas ntpd se

pueden utilizar para obtener
Estas consultas ntpdc se pueden utilizar información adicional del
para obtener información adicional del servidor NTP.
servidor NTP.
Comandos de Enumeración NTP
Comandos de Enumeración NTP

Estas consultas ntpdc se pueden

utilizar para obtener información
adicional del servidor NTP.
Herramientas de Enumeración NTP

PRTG Network Monitor incluye SNTP Sensor monitor, un servidor de protocolo de tiempo de red simple (SNTP) que muestra el tiempo de respuesta del
servidor y la diferencia de tiempo en comparación con la hora del sistema local.
Comprensión de la Cyber Kill
Chain

SMTP y DNS Enumeración

Enumeración SMTP
SMTP proporciona 3 comandos incorporados:

⮚ VRFY - Valida a los usuarios.

⮚ EXPN - Muestra las direcciones de entrega reales de los alias y las listas de correo.
⮚ RCPT TO - Define los destinatarios de un mensaje.

Los servidores SMTP responden de forma diferente a los comandos VRFY, EXPN y RCPT TO para los usuarios válidos e inválidos, en base a los cuales
podemos determinar los usuarios válidos en el servidor SMTP.

Los atacantes pueden interactuar directamente con el SMTP a través del prompt de telnet y recoger una lista de usuarios válidos en el servidor SMTP.

Uso del comando SMTP VRFY Uso del comando SMTP EXPN Uso del comando SMTP RCPT TO
Herramientas de Enumeración SMTP

La herramienta SMTP Email Generator de NetScanTools Pro comprueba el proceso de envío de un mensaje de correo electrónico a través de
un servidor SMTP.
Enumeración del DNS mediante la
transferencia de zonas
■ Si el servidor DNS de destino permite las transferencias de zona, los atacantes utilizan esta técnica para obtener nombres de servidores ONS, hostn-mes,
nombres de máquinas, usernames, direcciones IP, alias, etc. asignados dentro de un dominio de destino.
■ Los atacantes realizan la transferencia de zona DNS utilizando herramientas, como nslookup, dig y DNSRecon; si la configuración de la transferencia DNS
está habilitada en el servidor de nombres de destino, éste proporcionará la información DNS, o bien devolverá un error diciendo que ha fallado o rechaza la
transferencia de zona.
Snooping de caché de DNS
El snooping de caché de DNS es una técnica de enumeración de DNS mediante la cual una atacante consulta al servidor DNS por un registro DNS específico
en caché.

Método no recursivo Método recursivo

Los atacantes envían una consulta no recursiva poniendo a cero el bit de Los atacantes envían una consulta recursiva para determinar el tiempo que
recursión deseada (RD) en la cabecera de la consulta. el registro DNS reside en la caché.
Comprensión de la Cyber Kill
Chain

Otras técnicas de enumeración

Enumeración en IPsec
⮚ IPsec utiliza el Encapsulation Security Payload (ESP), el Authentication Header (AH) y el Internet Key Exchange (IKE) para asegurar la comunicación entre los puntos finales de la
red virtual privada (VPN).

⮚ La mayoría de las VPNs basadas en Psec utilizan el Protocolo de Gestión de Claves y Seguridad de Internet (ISAKMP), que es un protocolo de gestión de claves.

⮚ (ISAKMP), una parte de IKE, para establecer, negociar, modificar y eliminar Asociaciones de Seguridad (SA) y claves criptográficas en un entorno VPN.

⮚ Un simple escaneo de ISAKMP en el puerto UOP solo puede indicar la presencia de una pasarela VPN.

⮚ Los atacantes pueden investigar más a fondo utilizando una herramienta, como lke-scan, para enumerar la información sensible, incluyendo el algoritmo de cifrado y hashing, el
tipo de autenticación, el algoritmo de distribución de claves y la duración de la SA.
Enumeración VoIP

⮚ La VoIP utiliza el protocolo de inicio de sesión (SIP) para permitir las llamadas de voz y vídeo a través de una red IP.

⮚ El servicio SIP suele utilizar los puertos UDP/TCP 2000, 2001, 5050 y 5061.

⮚ La enumeración de VoIP proporciona información sensible, como la pasarela/servidores de VoIP, los sistemas IP-PBX, el software cliente
(softphones)/teléfonos VoIP, las direcciones IP del agente de usuario y la extensión del usuario.

⮚ Esta información se puede utilizar para lanzar varios ataques de VoIP, como la denegación de servicio (DoS), el secuestro de sesiones, la suplantación de
identidad de llamadas, la escucha, el envío de spam a través de la telefonía por Internet (SPIT) y el phishing de VoIP (Vishing).
Enumeración de usuarios de Unix/Linux

Muestra una lista de usuarios que han iniciado sesión en máquinas remotas o en máquinas de la red local:

Muestra una lista de usuarios que han iniciado sesión en equipos de la red local:

Muestra información sobre los usuarios del sistema, como el nombre de inicio de sesión, el nombre real, el nombre del terminal, el
tiempo de inactividad, el tiempo de inicio de sesión, la ubicación de la oficina y los números de teléfono de la oficina:
Enumeración de Telnet y SMB
Enumeración de Telnet
Enumeración SMB
Si el puerto Telnet se encuentra abierto, los atacantes
Los atacantes utilizan herramientas de enumeración SMB,
pueden acceder a la información compartida, incluyendo
como Nmap, SMBMap, enum4linux y nullinux, para realizar un
la información de hardware y software del objetivo.
escaneo dirigido en el servicio SMB que se ejecuta en el
puerto 445.
La enumeración de Telnet permite a los atacantes explotar
las vulnerabilidades identificadas y realizar ataques de
La enumeración de SMB ayuda a los atacantes a realizar la
fuerza bruta para obtener acceso no autorizado al objetivo
captura de banners del sistema operativo en el objetivo.
y lanzar otros ataques.
 Enumeración de FTP y TFTP
Enumeración de FTP Enumeración TFTP

El FTP transfiere datos en texto plano entre el emisor y el receptor, Los atacantes llevan a cabo la enumeración TFTP utilizando
lo que puede llevar a que información crítica, como nombres de herramientas, como PortQry y Nmap, para extraer información,
usuario y contraseñas, quede expuesta a los atacantes. como los servicios TFTP en ejecución y los archivos almacenados
en el servidor remoto.
Los atacantes utilizan Nmap para escanear y enumerar el puerto 21
abierto mediante la ejecución de servicios FTP y, además, utilizan la Utilizando esta información, los atacantes pueden obtener acceso
información para lanzar varios ataques, como el rebote de FTP, la no autorizado al sistema de destino, robar archivos importantes y
fuerza bruta de FTP y el olfateo de paquetes. cargar secuencias de comandos maliciosas para lanzar otros
ataques.
Contramedidas de Enumeración

Desactivar las transferencias de zona DNS a los hosts no

Eliminar el agente SNMP o desactivar el servicio SNMP.
confiables.
Si no es posible desactivar SNMP, cambie los nombres de las
cadenas de comunicación por defecto.
Asegúrese de que los hosts privados y sus direcciones IP no se
Upgrade a SNMP3, que encripta las contraseñas y los mensajes.
publican en los archivos de zona DNS del servidor DNS público.
Implementar la opción de seguridad de la Política de Grupo
llamada "Restricciones adicionales para conexiones anónimas".
Utilice servicios de registro de DNS de primera calidad que
oculten la información sensible, como la información del host
Asegúrese de que el acceso a las Tuneles de sesion , a los
(HINFO), del público.
recursos compartidos de sesslon nulo y al filtrado IPSec está
restringido.
Utilice contactos de administración de red estándar para los
No configure erróneamente el servicio SNMP con autorización
registros de DNS a fin de evitar ataques de ingeniería social.
de lectura-escritura.
Contramedidas de Enumeración

Configurar los servidores SMTP para: ⮚ Por defecto, el tráfico LDAP se ⮚ Desactivar el protocolo SMB en los
transmite sin seguridad; utilice la servidores web y DNS.
⮚ Ignorar los mensajes de correo tecnología SSL o STARTTLS para cifrar el
electrónico a destinatarios tráfico.
desconocidos. ⮚ Desactivar el protocolo SMB en los
servidores orientados a Internet.
⮚ Excluir la información sensible del ⮚ Seleccione un nombre de usuario
servidor de correo y del host local en diferente a su dirección de correo
las respuestas de correo. electrónico y active el bloqueo de la ⮚ Desactivar los puertos TCP 139 y TCP
cuenta. 445 utilizados por el protocolo SMB.
⮚ Desactivar la función de retransmisión
abierta. ⮚ Restringir el acceso anónimo mediante
⮚ Utilice NTLM o cualquier mecanismo de el parámetro RestrictNullSessAccess del
⮚ Limitar el número de conexiones autenticación básica para limitar el Registro de Windows.
aceptadas desde una fuente para evitar acceso sólo a los usuarios legítimos.
ataques de fuerza bruta.
Contramedidas de Enumeración

⮚ Implementar los permisos adecuados (la lectura/escritura ⮚ Implementar un FTP seguro (SFTP, que utiliza SSH) o un FTP
debe estar restringida a usuarios específicos) en los sistemas seguro (FTPS, que utiliza SSL) para cifrar el tráfico FTP en la
de archivos exportados. red.

⮚ Implementar reglas de firewall para bloquear el puerto NFS ⮚ Implementar contraseñas seguras o una política de
2049. autenticación basada en la certificación.

⮚ Garantizar una configuración adecuada de los archivos, como ⮚ Asegúrese de que no se permite la carga de archivos sin
/etc/smb.conf, /etc/exports y etc/hosts.allow, para proteger restricciones en el servidor FTP.
los datos almacenados en los servidores.

⮚ Desactivar las cuentas FTP anónimas; si no es posible,

⮚ Registrar las solicitudes de acceso a los archivos del sistema supervisar regularmente las cuentas FTP anónimas.
en el servidor NFS.

⮚ Mantener activada la opción root_squash en el archivo ⮚ Restringir el acceso por IP o nombre de dominio al servicio
/etc/exports, para que no se confíe en las peticiones FTP.
realizadas como root en el cliente.