ANÁLISIS DE VULNERABILIDADES

INTRODUCCIÓN
Profesor: María Teresa Pérez Morales. PhD

Abril del 2024 Universidad Internacional de La Rioja

Índice

INTRODUCCIÓN A LA ASIGNATURA

22 - 26- 04- 2024

2
Brechas de Datos - Hacks http://www.informationisbeautiful.net/visualizations/w
orlds-biggest-data-breaches-hacks/

35 min.
Definiciones

Amenazas Vulnerabilidades

Posible causa de un incidente deseado La debilidad de un activo o

o no deseado, que puede resultar en control que puede ser explotado
daño a un sistema u organización. por una o más amenazas.
Brechas de Datos - Hacks http://www.informationisbeautiful.net/visualizations/w
orlds-biggest-data-breaches-hacks/

35 min.
FIGURE 1-9 Attackers
7
¿Que proteger?

Activo

Cualquier cosa que tenga valor para la organización de TI y

que por lo tanto requiera protección
Activos de hardware Activos de software Activos de información
Servidores Software de Información de
Estaciones de Trabajo Aplicaciones, Ruteo
Computadoras portátiles Sistemas operativos, Comunicaciones
Dispositivos móviles
Virtualización, Listas negras y blancas
Equipos de redes Y
Redes y Comunicaciones Puertos abiertos y cerrados
telecomunicaciones
Equipos periféricos, entre Antivirus Operativa
otros Bases de Datos Problemas
Archivos Configuración
Cliente Servidor

35 min.
 Definiciones

Ciberseguridad Ciberespacio

Es la colección de herramientas, políticas, conceptos “Consiste en dispositivos

de seguridad, directrices, enfoques de gestión de (artefactos) basados o
riesgos, acciones, capacitación, mejores prácticas,
garantías y tecnologías que se utilizan para proteger
dependientes de
el entorno y la organización del ciberespacio y los computadoras y
activos de TI. comunicaciones tecnologías;
Cybersecurity is provided in ITU-T (Inter- national Telecommunication Union
la información que en estos
Telecommunication Standardization Sector) Recommendation X.1205 [Overview
of Cybersecurity, 2019]:
dispositivos son utilizados es
Definition of cyberspace as stated in the Nation Research Council’s publication At
the Nexus of Cybersecurity and Public Policy: para almacenar, manejar o
procesar información y las 35 min.
interconexiones entre estos
diversos elementos."
From Analyzing Computer Security by
Charles P. Pfleeger and Shari Lawrence
Pfleeger
(ISBN: 0132789469) Copyright © 2012
Pearson Education, Inc. All rights
FIGURE 1-10 Method–Opportunity–Motive
reserved.
Programa semanal

11
12
Definiciones

Amenazas Vulnerabilidades

Posible causa de un incidente deseado La debilidad de un activo o

o no deseado, que puede resultar en control que puede ser explotado
daño a un sistema u organización. por una o más amenazas.
 https://www.internetlivestats.com/

Información Ciberespacio

35 min.
Brechas de Datos - Hacks http://www.informationisbeautiful.net/visualizations/w
orlds-biggest-data-breaches-hacks/

35 min.
 https://cybermap.kaspersky.com/es/stats#country=2
Brechas/Comunicaciones 13&type=oas&period=w

35 min.
Threat and Vulnerability
FIGURE 1-8 Kinds of Threats
FIGURE 1-4 Four Acts to Cause Security Harm
FIGURE 1-5 Access Control
 Software que explota
vulnerabilidades en un

Malicious software sistema informático para

(malware) crear un ataque
Tipos de Amenazas
• Malware
• Dropper • Denial-of-service
• Virus
• Auto-rooter (DoS)
• Worm
• Kit (virus generator) • Distributed denial-of-
• Ransomware service (DDoS) attack
• Spammer program
• Spam • DNS attacks
• Flooder
• Logic bomb • Hacker or cracker
• Keyloggers
• Trojan horse • Rootkit • Injection flaw
• Backdoor • Zombie or bot • Code injection
(trapdoor)
• Spyware • Social engineering
• Mobile code
• Adware • Phishing
• Exploit
• Remote access attacks • Password attack
• Exploit kit
• Website exploit
35 min.
• Downloader
23
 Actividades de protección contra
malware

El software malintencionado (malware) es quizás

la amenaza de seguridad más importante para las
organizaciones
 El Instituto Nacional de Estándares y Tecnología (NIST) SP
800-83, Guía para la Prevención y Manejo de Incidentes de
Malware para Escritorios y Portátiles, define el malware de la
siguiente manera:

Un programa que se inserta

encubiertamente en otro programa con la
"El malware también se utiliza intención de destruir datos, ejecutar
en sitios web y servidores programas destructivos o intrusivos, o
comprometidos o maliciosos, o
en correos electrónicos de comprometer la confidencialidad,
spam especialmente integridad o disponibilidad de los datos,
diseñados u otros mensajes, aplicaciones o sistema operativo de la
que tienen como objetivo víctima“
engañar a los usuarios para
que revelen información El malware puede suponer una amenaza
personal sensible para los programas de aplicación, los
programas de utilidad y
los programas a nivel de kernel
 Tipos de malware

Adware Auto-rooter Backdoor (trapdoor)

• Publicidad que está integrada en el • Una herramienta de hackers • Cualquier mecanismo que omita una
software; puede resultar en anuncios maliciosos utilizada para entrar a comprobación de seguridad normal;
pop-up o redirección de un navegador nuevas máquinas de forma remota puede permitir el acceso no
a un sitio comercial • autorizado a la funcionalidad
•

Exploit Downloader Dropper

• Código específico para una sola • Un programa que instala otros • Un instalador de malware que
vulnerabilidad o conjunto de elementos en una máquina que está subrepticiamente lleva virus, puertas
vulnerabilidades bajo ataque; por lo general, un traseras, y otro software malicioso para ser
• descargador se envía en un mensaje ejecutado en la máquina comprometida;
de correo electrónico cuentagotas no causan daño directamente,
• pero entregar una carga útil de malware en
una máquina de destino sin detección
•
 Types of malware
Polymorphic dropper Flooder Keyloggers
• También llamado empacador • Una herramienta utilizada para atacar • Una herramienta de software que
polimórfico, una herramienta de sistemas informáticos en red con un captura pulsaciones de teclas en un
explotación de software que agrupa gran volumen de tráfico para llevar a sistema comprometido
varios tipos de malware en un solo cabo un ataque de denegación de •
paquete, como un archivo adjunto de servicio (DoS)
correo electrónico, y puede forzar su •
"firma" a mutar con el tiempo, lo que
dificulta la detección y eliminación
•
Kit (virus generator) Logic bomb Malware as a Service (MaaS)
• Un conjunto de herramientas para • Un programa insertado en el software • Un proveedor web de malware. MaaS
generar nuevos virus automáticamente por un intruso. Una bomba lógica se puede proporcionar acceso a botnets,
• queda inactiva hasta que se cumple una líneas directas de soporte y servidores
condición predefinida, momento en el que actualizan y prueban regularmente
que el programa desencadena un acto cepas de malware para comprobar su
no autorizado eficacia
• •
 Types of malware
Mobile code Potentially unwanted program (PUP) Ransomware
• Software que se puede enviar sin cambios a • Un programa que puede ser no deseado, a • Un tipo de malware en el que los datos en el
una colección heterogénea de plataformas y pesar de la posibilidad de que los usuarios ordenador de una víctima está bloqueado, por
ejecutar con la misma semántica consintieron en descargarlo; Los PUP incluyen lo general por cifrado, y el pago se exige antes
• spyware, adware y dialers y a menudo se de que los datos ransomed se descifran y el
descargan junto con programas que los acceso devuelto a la víctima
usuarios realmente quieren •
•

Remote access Trojan (RAT) Rootkit Scraper

• Un programa de malware que incluye una • Un conjunto de herramientas de hackers • Un programa simple que busca en la memoria
puerta trasera para el control administrativo utilizadas después de que el atacante ha de un equipo secuencias de datos que
sobre el equipo de destino; Los RAT irrumpido en un sistema informático y ha coincidan con patrones concretos; terminales
generalmente se descargan de forma invisible obtenido acceso a nivel de root de punto de venta y otros ordenadores suelen
con programas solicitados por el usuario, como • cifrar los datos de las tarjetas de pago al
juegos, o se envían como archivos adjuntos de almacenarlos y transmitirlos, y los atacantes a
correo electrónico menudo utilizan raspadores para localizar los
• números de tarjeta en la memoria antes de
que se cifren o después de que se descifran
para su procesamiento
•
 Types of malware
Spammer programs Spyware
• Programas utilizados para enviar grandes • Software que recopila información de un
volúmenes de correo electrónico no ordenador y la transmite a otro sistema
deseado

Trojan horse Virus

• Un programa informático que parece • Malware que, cuando se ejecuta, intenta
tener una función útil pero también replicarse en otro código ejecutable;
tiene una función oculta y cuando tiene éxito, el código está
potencialmente maliciosa que evade los infectado; cuando se ejecuta el código
mecanismos de seguridad, a veces infectado, el virus también ejecuta
mediante la explotación de •
autorizaciones legítimas de una entidad
del sistema que invoca el programa de
caballo de Troya
•
30
 Phishing
Consejos para detectar y evitar ataques de ingeniería social basados en el
correo electrónico

31
Lo que discutiremos

• ¿Qué es el phishing?
– Tres amenazas principales de phishing
– Ganchos comunes y técnicas de ingeniería social
– La ingeniería social más allá de la phishing (phishing)

• ¿Qué puede hacer el phishing?

– Por qué los ciberdelincuentes eligen el phishing
– Alcance del problema de phishing
– Consecuencias de caer en el ataque de phishing

• Cómo identificar y evitar los ataques de phishing

Phishing e ingeniería social:
conceptos básicos
¿Qué es el phishing?

Intencionalmente suena como "pesca" debido a cómo funciona

• :Correos electrónicos que "pescan" información y acceso

• Mensajes que "te atraen" y tratan de que "muerdas el anzuelo"
• Una vez que estás "enganchado"... estás en problemas
Tres amenazas principales de phishing
• Enlaces maliciosos– Llevarte a sitios web impostores que roban tu información,
infectan tu dispositivo con malware

• Archivos adjuntos maliciosos– Comprometer su computadora

• Solicitudes de datos confidenciales– Solicitarle que complete identificaciones

de usuario, contraseñas, información financiera, etc., que luego es robada
Ingeniería Social: El Arte del Engaño
• Todos los ataques de phishing utilizan ingeniería social
• Los ingenieros sociales usan la psicología para engañarte
• Las técnicas comunes de ingeniería social incluyen::
– Hacerse pasar por alguien que conoces
– Usar tácticas de miedo
– Hacer promesas emocionantes

Atrápame
Si puedes
37
38
39
40
41
42
43
44
45
46
47
48
49
50
51
52
53
54
 Phishing
Consejos para detectar y evitar ataques de ingeniería social basados en el
correo electrónico

55
 Técnicas de phishing: no solo para el correo electrónico

Las tácticas de ingeniería social se utilizan de múltiples maneras

Phishing por SMS/texto Phishing de voz Phishing en redes sociales

(también conocido como (también conocido como (a través de cuentas
"smishing") "vishing") impostores y
publicaciones/mensajes
instantáneos maliciosos)
¿Por qué a los ciberdelincuentes les encanta el
phishing?

• Fácil
• Barato
• Eficaz

• Los ciberdelincuentes pueden obtener acceso a:

– Dinero (a través de transferencias bancarias fraudulentas)
– Cuentas financieras, minoristas, de redes sociales y de correo electrónico
– Nombres de contacto y listas de clientes
– Archivos importantes e información comercial de propiedad exclusiva
– Datos confidenciales (como información fiscal y registros médicos)
– Servidores, sistemas y redes
¿Por qué a los ciberdelincuentes les encanta el
phishing?

• El phishing es fácil para los delincuentes porque siempre hay algo nuevo de lo
que hablar

– Las filtraciones de datos pueden dar lugar a nuevos ataques de phishing y a más filtraciones
de datos
– Los eventos a gran escala y las referencias a la cultura pop generan curiosidad

• Pero no se olvide de las estafas "probadas y verdaderas"

© 2019 Proofpoint. All rights reserved

 ¿Qué tan grande es el problema?

• Entre abril de 2018 y marzo de 2019 se registraron casi 900.000 ataques de phishing únicos

• Nearly 200,000 phishing websites identified during the first quarter of 2019

• Más de 10 millones de correos electrónicos inseguros o no deseados se bloquean cada

minuto

• Los atacantes envían 6,2 veces más correos electrónicos de phishing a las bandejas de
entrada corporativas que a las bandejas de entrada personales

• Más del 30% de los adultos en edad laboral no tienen una comprensión fundamental del
phishing
• El 55% no sabe qué es el ransomware
¿Qué puede pasar si caes en la trampa de un
phishing?

Si cae en un ataque de phishing, estas son solo algunas de las cosas que podrían
suceder:
En tu vida personal En el trabajo
• Dinero robado de su cuenta bancaria • Pérdida de fondos corporativos
• Cargos fraudulentos en tarjetas de • Información personal expuesta de
crédito clientes y compañeros de trabajo
• Declaraciones de impuestos • Acceso de personas ajenas a
presentadas a su nombre comunicaciones, archivos y sistemas
• Préstamos e hipotecas abiertos a su confidenciales
nombre • Los archivos se bloquean y son
• Pérdida de acceso a fotos, videos, inaccesibles
archivos, etc. • Dañar la reputación del empleador
• Publicaciones falsas en redes sociales
realizadas en sus cuentas
© 2019 Proofpoint. All rights reserved
Consejos para reconocer y evitar los
ataques de phishing

© 2019 Proofpoint. All rights reserved

Los atacantes usan muchos trucos para engañarte

• Tres amenazas principales • Mensajes de phishing disfrazados:

– Enlaces maliciosos
– Archivos adjuntos infectados – Solicitudes del URL otros organismos fiscales
– Solicitudes falsas de información – Notificaciones de actualizaciones de software
confidencialinformation de proveedores de confianza
• No hay límite en los tipos de mensajes – Alertas de bancos conocidos, minoristas, redes
sociales, etc.
• Algunos ataques son personalizados, puede
parecer que provienen de alguien que – Notificaciones de departamentos internos
como TI, RRHH, etc.
conoces

© 2019 Proofpoint. All rights reserved

You Are an Important Line of Defense

• Las herramientas técnicas, como los filtros de spam, el software antivirus y los
cortafuegos, no pueden evitar que todos los ataques lleguen a sus bandejas de
entrada
• Los correos electrónicos de phishing solo tienen éxito si muerdes el anzuelo
• El conocimiento es poder: es la clave para mejorar la higiene de la
ciberseguridad

© 2019 Proofpoint. All rights reserved

Example of a Link-Based Phish

© 2019 Proofpoint. All rights reserved

Example of an Attachment-Based Phish
Ejemplo de solicitud de datos confidenciales

© 2019 Proofpoint. All rights reserved

Tip #1: Lea y piense antes de hacer clic

Lee detenidamente los correos electrónicos. No te limites a reaccionar. Pregúntate a ti

Esté atento a: mismo:
• Faltas de ortografía y mala gramática • ¿Esperaba este mensaje?
• Mensajes que no parecen del todo correctos • ¿Tiene sentido este correo electrónico?
• Correos electrónicos no solicitados • ¿Me están presionando para que actúe
rápidamente?
• ¿Parece esto demasiado bueno para ser
verdad?
• ¿Y si se trata de un correo electrónico de
phishing?

© 2019 Proofpoint. All rights reserved

Tip #2: Verificar, verificar, verificar

Confía al 100% en que conoces al remitente No tomes los mensajes al pie de la letra
• Los logotipos son utilizados ilegalmente por • Coloque el cursor sobre los enlaces para
estafadores verificar el destino
• La "suplantación de identidad" puede hacer • Confirme que el correo electrónico es legítimo
que las direcciones de remitente, los enlaces
y el identificador de llamadas parezcan • En lugar de hacer clic en un enlace, escriba
confiables una URL conocida en su navegador

• En el caso de una cuenta de correo • En lugar de responder al correo electrónico o

electrónico comprometida, un atacante puede usar un número de teléfono del mensaje, use
enviar mensajes desde la cuenta de correo un canal de contacto verificado y confiable
electrónico de otra persona

© 2019 Proofpoint. All rights reserved

Tip #3: Pide ayuda

En el trabajo En casa
• Pida consejo a su gerente o al servicio de • Trusted sites – IRS.gov, PayPal, Amazon, etc.
asistencia de TI – have advice about keeping your information
secure
• Denunciar mensajes sospechosos
• Denuncie los correos electrónicos de phishing
• ¿Ha respondido accidentalmente a un falsos a las organizaciones a las que imitan
mensaje de phishing? Póngase en contacto
con su equipo de TI rápidamente! • Póngase en contacto con su banco, compañía
de tarjetas de crédito, organización tributaria
y/o autoridades locales en casos de fondos
perdidos o robados, amenazas de chantaje u
otros delitos

© 2019 Proofpoint. All rights reserved

¡Mantente alerta! Nadie es inmune al phishing.

• Haz que la ciberseguridad forme parte de tu rutina diaria

• Tenga especial cuidado con los correos electrónicos que impliquen solicitudes
de:
– Transferencias
– Datos fiscales y médicos
– Información de la cuenta financiera
– Actualizaciones de contraseñas
– Descargas de archivos

• Esté atento a las técnicas de phishing en mensajes de texto, en las redes

sociales y durante llamadas telefónicas no solicitadas
• Informar de mensajes sospechosos a su equipo de TI

© 2019 Proofpoint. All rights reserved

© 2019 Proofpoint. All rights reserved 71
72
73
© 2019 Proofpoint. All rights reserved 74
• Realizar un ataque de Phishing

• Introducción

• En la siguiente actividad deberás de realizar un ataque de Ingeniería Social

usando técnicas de Phishing. Para ello se hará uso de dos herramientas:

• ▸ Social Engineer Toolkit (SET) y Metasploit Project, ambas herramientas se

encuentran incorporadas en la distribución Kali Linux.
• ▸ Kali Linux puede ser descargada en formato instalable (ISO) que puede ser
isado en una máquina virtual, o ya como máquina virtual (disponible para
VMwarde o Virtual Box). https://www.kali.org/downloads/
• ▸ Como sistema operativo del equipo a ser atacado se recomienda Windows,
versión 7 en adelante, éste puede ser descargado de DreamSpark.

© 2019 Proofpoint. All rights reserved 75

© 2019 Proofpoint. All rights reserved 76
© 2019 Proofpoint. All rights reserved 77
© 2019 Proofpoint. All rights reserved 78
© 2019 Proofpoint. All rights reserved 79
© 2019 Proofpoint. All rights reserved 80
© 2019 Proofpoint. All rights reserved 81
82