Seguridad Informatica Modulo 3
Seguridad Informatica Modulo 3
Seguridad Informatica Modulo 3
Dado que el alcance de este modelo no contem- Los fundamentos de la arquitectura TCP/IP condi-
pla detallar el funcionamiento del protocolo cionan los dos aspectos mencionados con anterio-
TCP/IP, si es muy importante que puedas tener ridad, es decir, poseen vulnerabilidades que
claro su funcionamiento, para ello hay un intere- pueden ser explotadas en ataques; y, al mismo
sante recurso que te permitirá de una forma en- tiempo, condicionan el tipo de mecanismos y he-
tender el funcionamiento de este protocolo. Te rramientas que pueden ser utilizados. Es por ello
aconsejo que antes de continuar puedas leer el condición indispensable para el avance en los con-
siguiente recurso. ceptos relacionados con la seguridad en redes, la
compresión de los fundamentos de TCP/IP.
INTRODUCCION AL PROTOCOLO TCP/IP
https://drive.google.com/file/d/18GUSkypeQm1-
tUY9rs5FH2L3LG4VuB8Ys/view?usp=sharing
Corresponde con las capas de sesión, Corresponde con la capa de red del modelo
presentación y aplicación del modelo OSI. Permite el enrutamiento y maneja el movi-
OSI. Gestiona las características de una miento de los paquetes en la red. Esta capa la
aplicación en particular. Las aplicacio- componen cinco protocolos: Internet Protocol
nes TCP/IP más comunes en este nivel (IP), Address Resolution Protocol (ARP), Inter-
son Telnet, FTP, SMTP, SNMP, NFS... net Control Message Protocol (ICMP), Reverse
Address Resolution Protocol (RARP) e Internet
Group Management Protocol (IGMP).
Fue el primer tipo de malware creado y por ende una de Al igual que los virus, se caracterizan por su objetivo de Se conoce como caballos de Troya o simplemente tro-
las formas más comunes de referirse a todos los tipos replicarse a sí mismos. La diferencia entre ambos yanos, a los programas que se presentan a la como le-
de malware. Una prueba de lo arraigado del término es radica en la forma de reproducirse, ya que en este caso gítimos y esconden una funcionalidad oculta, principal-
que al software destinado a combatir los diferentes su objetivo no es infectar o afectar a otros programas, mente con fines maliciosos. En la actualidad es el tipo
tipos de amenazas recibe genéricamente el nombre de sino replicarse haciendo copias de sí mismos de forma de malware al que más recurren los atacantes a la hora
"antivirus", a pesar de contar actualmente con muchas automática. Su aparición también es de las primeras en de buscar nuevas infecciones. Su nombre se debe a la
otras funcionalidades. el mundo del malware, dando lugar a especímenes similitud en su comportamiento con el caballo de
bastante conocidos, como "Sasser", "Blaster" o "I Love madera utilizado en la guerra de Troya para ocultar sol-
La definición de un programa con un comportamiento You". dados y que las propias víctimas los introdujera en la
considerado "vírico" es simple: cualquier programa ciudad que más tarde tomarían.
cuyo objetivo sea asegurar su propia existencia, repli- Sus objetivos primigenios solían ser la simple replica-
cándose a sí mismo e infectando a otros programas. ción y ralentización de sistemas. Hoy en día se trata Del mismo modo, los troyanos inicialmente son aparen-
Recibe su nombre por la similitud con los agentes bioló- más bien de una técnica de propagación que utilizan el temente inofensivos y se les permite acceder al siste-
gicos que únicamente buscan la manera de sobrevivir malware y que busca en realidad otros fines una vez in- ma, para posteriormente poder llevar a cabo su objeti-
multiplicándose una y otra vez infectando a los seres fectado el sistema. Los gusanos, o las técnicas de vo. La finalidad del programa escondido habitualmente
vivos con los que entran en contacto. gusano en malware, son todavía habituales, se consi- solía ser la de controlar totalmente el equipo, quedán-
dera que el malware utiliza características de gusano dose en modo residente en él, es decir, manteniéndose
Una vez infectado, los virus podrían inutilizar o modifi- cuando se copian a sí mismos dentro de las memorias en funcionamiento constante, y siendo capaz de recibir
car su comportamiento, pero en los tiempos en los que USB y también cuando busca en la red nuevos equipos órdenes del exterior. Así pues, se decía que el equipo
el comportamiento vírico puro era más popular, habi- a los que infectar a través de algún servicio, por ejem- se encontraba "troyanizado", de modo que el término
tualmente su principal objetivo era la simple copia de sí plo entre las carpetas compartidas. "troyano" se refería tanto a la forma en la que se pre-
mismos a otros ficheros en el disco duro para poder in- sentaba el malware, como a su funcionalidad.
fectar al mayor número de programas posibles. Por
tanto, su fin era llegar a tantos sistemas como permitie- En la actualidad, se le llama troyano a todo software
ra su funcionalidad, sin un claro objetivo para el creador que, sin advertir a la víctima, es capaz de recibir o
más allá de la satisfacción de difundir "su obra". enviar órdenes a un tercero y ejercer control sobre el
sistema infectado, independientemente de cómo se
presente a la víctima y cómo ésta sea infectada.
Backdoors (o puertas traseras) Adware (o software publicitario) Spyware (o software espía)
Pese a considerarse un tipo de troyano, o de funcionali- Se trata de un tipo de software destinado a generar un Se incluye en esta categoría el malware cuya función
dad de ellos por ser este el grupo en que más se pre- beneficio económico directo a su creador o comprador es recolectar información de la máquina infectada, mo-
senta, esta funcionalidad está ampliamente extendida a través de la publicidad no deseada e intrusiva. Su nitorizando sus movimientos. Por ello son también co-
debido al gran abanico de posibilidades que ofrece. funcionamiento se basa en mostrar publicidad esperan- nocidos como stealers (en inglés, ladrones). Entre los
Significa "puerta trasera", y su objetivo es permitir al do que el usuario acceda a las páginas webs anuncia- datos de interés que se encarga de recolectar se en-
atacante controlar el sistema infectado a través de una das. Existen otras variedades de "adware" que en lugar cuentran las credenciales almacenadas en el equipo
vía de acceso y control que se encuentra oculta para el de mostrar anuncios, realizan un trabajo más discreto, (en el navegador o archivos de configuración), claves
usuario legítimo del equipo. como es el caso de los llamados "clickers". Su objetivo privadas, datos de tarjetas de crédito, etc.
es pulsar de forma automática (e inadvertida para la
A partir de aquí el controlador remoto puede realizar víctima) sobre ciertos anuncios de publicidad para ge- También se puede recopilar otro tipo de información,
cualquier acción sobre el equipo (siempre que dispon- nerar así beneficios para el anunciante. con un beneficio menos directo, como son los hábitos
ga de los permisos adecuados), desde instalar un de navegación de internet, útiles para conocer gustos,
"Keylogger" hasta mandar instrucciones para atacar Esto les permite eludir los controles de las compañías últimas tendencias, etc., y así poder presentar una pu-
otros ordenadores o enviar correos basura. En estas de publicidad, que penalizan las pulsaciones sobre blicidad más atractiva para los infectados (estas técni-
posibilidades de acción se pone de manifiesto la impor- anuncios que parezcan provenir de sistemas automati- cas también suelen ser utilizadas por ciertas páginas
tancia de utilizar de forma habitual un perfil de usuario zados. Con una gran cantidad de usuarios infectados con cookies de rastreo).En este punto en el que se
con permisos reducidos, en lugar de un perfil de admi- con estos "clickers" se puede conseguir que las visitas llega a alterar el comportamiento del navegador, es
nistrador. La existencia de un "backdoor", deja la má- a la publicidad, aunque automatizada, provenga de di- donde la diferencia entre "adware" y "spyware" empie-
quina bajo el control del atacante. ferentes equipos y con una cadencia más "aleatoria", za a difuminarse. En todo caso podría considerarse
simulando el comportamiento "normal" del usuario. que es "adware" que incluye características de "spywa-
Este estado del equipo es comúnmente conocido como También existe "adware" que modifica los anuncios re".
"zombi" o "bots", y desde el momento en el que se in- aparecidos en el navegador anteponiéndose a los legí-
fecta puede pasar a formar parte de las llamadas "bot- timos.
nets" o red de "zombis". Estas redes pueden ser utiliza-
das con diversos fines, y no siempre en perjuicio del
propio infectado. En ocasiones el atacante que controla
la botnet puede usar la máquina para el beneficio
propio o en perjuicio de un tercero, siendo los daños al
usuario infectado "efectos colaterales"
Ransomware
El uso de algoritmos matemáti- Datos añadidos a, o una trans- Una serie de mecanismos que Una serie de mecanismos em-
cos para transformar datos en formación criptográfica de, una refuerzan los derechos de pleados para verificar la integri-
una forma inteligible. La trans- unidad de datos que permite al acceso a los recursos. dad de una unidad de datos o
formación y la posterior recupe- receptor verificar la fuente y la del flujo de unidades de datos.
ración de los datos depende de integridad de la unidad de
un algoritmo y cero o más datos y protegerla de la falsifi-
claves de cifrado. cación (por parte del receptor).
Un mecanismo diseñado para La inserción de bits en espa- Permite la selección de rutas El uso de una tercera parte
comprobar la identidad de una cios en un flujo de datos para físicamente seguras para deter- confiable para asegurar deter-
entidad por medio del intercam- frustrar los intentos de análisis minados datos y permite los minadas propiedades de un
bio de información de tráfico. cambios de enrutamiento espe- intercambio de datos..
cialmente cuando se sospecha
de una brecha en la seguridad
Funcionalidad fiable Etiquetas de seguridad Detección de acciones
El flujo normal de información en una cone- Con un protocolo de reto-respuesta basado Cada paquete enviado en una conexión
xión SSL/TLS consiste en intercambiar pa- en firmas digitales el cliente puede confir- SSL/TLS, a más de ir cifrado, puede incor-
quetes con datos cifrados mediante claves mar la identidad del servidor al cual se ha porar un código MAC para que el destinata-
simétricas (por motivos de eficiencia y rapi- conectado. Para validar las firmas el cliente rio compruebe que nadie ha modificado el
dez). Al inicio de cada sesión, cliente y ser- necesita conocer la clave pública del servi- paquete. Las claves secretas par el cálculo
vidor se ponen de acuerdo en que claves dor, y esto normalmente se realiza a través de los códigos MAC (una para cada senti-
utilizarán para cifrar los datos. Siempre se de certificados digitales. SSL/TLS también do) también se acuerdan de forma segura
utilizan dos claves distintas: una para los prevé la autenticación del cliente frente al en el diálogo inicial.
paquetes enviados del cliente al servidor, y servidor. Esta posibilidad, pero, no se usa
la otra para los paquetes enviados en senti- tan a menudo porque muchas veces, en
do contrario. Para evitar que un intruso que lugar de autenticar automáticamente el
esté escuchando el diálogo inicial pueda cliente a nivel de transporte, las mismas
saber cuales son las claves acordadas, se aplicaciones utilizan su propio método de
sigue un mecanismo seguro de intercambio autenticación.
de claves, basado en criptografía de clave
pública. El algoritmo concreto para este in-
tercambio también se negocia durante el
establecimiento de la conexión.
VPN extranet. A veces, a una empresa le interesa El caso de las VPN extranet puede ser como el de las
compartir una parte de los recursos de su intranet con VPN entre intranets, en que la comunicación segura se
determinados usuarios externos, como por ejemplo establece entre pasarelas VPN, o bien como el de las
proveedores o clientes de la empresa. La red que per- VPN de acceso remoto, en que un cliente VPN se co-
mite estos accesos externos a una intranet se llama munica con la pasarela de la intranet. La diferencia,
extranet, y su protección se consigue mediante una pero, es que en este caso normalmente el control de
VPN extranet. acceso es más restrictivo para permitir solamente el
acceso a los recursos autorizados.
https://www.youtube.com/watch?v=To_xXiE5wns&a-
b_channel=SeguridadInformatica