ENSA Module 3

Módulo 3: Conceptos de
Seguridad de Redes
Materiales del Instructor
Redes empresariales, seguridad y automatización

V7.0
(ENSA)
Módulo 3: Conceptos de
Seguridad en Redes
Redes empresariales, seguridad y automatización
v7.0
(ENSA)
Objetivos del módulo
Título del Módulo: Conceptos de Seguridad en Redes
Objetivos del Módulo: Explique cómo se pueden mitigar las vulnerabilidades, las amenazas y los
ataques para mejorar la seguridad de la red.
Título del tema Objetivo del tema
Estado Actual de la Ciberseguridad Describa el estado actual de la ciberseguridad y los vectores de pérdida de datos.
Agentes de amenazas Describa las herramientas que utilizan los agentes de amenazas para explotar las redes.
Malware Describa los tipos de malware.
Ataques de red habituales Describa los ataques de red habituales.
Vulnerabilidades y amenazas de IP Explique cómo los agentes de amenazas explotan las vulnerabilidades de IP.
Vulnerabilidades de TCP y UDP Explique cómo los agentes de amenazas explotan las vulnerabilidades de TCP y UDP.
Servicios IP Explique cómo los agentes de amenazas explotan los servicios IP.
Mejores Prácticas en Seguridad de
Describa las mejores prácticas para proteger una red.
Redes
Describa los procesos criptográficos comunes utilizados para proteger los datos en
Criptografía
tránsito.
© 2016 Cisco y/o sus filiales. Todos los derechos reservados.
Información confidencial de Cisco. 13
Declaración de Hacking Ético
• En este módulo, es posible que se exponga a los estudiantes a herramientas y técnicas en un entorno
"sandboxed" de máquina virtual, para demostrar distintos tipos de ciber ataques. Experimentar con estas
herramientas, técnicas y recursos fuera del entorno virtual de sandbox provisto queda a criterio exclusivo
del instructor y de la institución local. Si el alumno está considerando usar herramientas de ataque con
fines educativos, debe comunicarse con su instructor antes de cualquier experimentación.
• El acceso no autorizado a datos, computadoras y sistemas de redes es un delito en muchas
jurisdicciones y, a menudo, está acompañado por graves consecuencias, independientemente de qué
motive al delincuente. En su carácter de usuario de este material, la responsabilidad del alumno es
conocer y cumplir las leyes de uso de las computadoras.

3.1. Estado Actual de la
Ciberseguridad

Estado Actual de la Ciberseguridad
Estado actual de los casos
• Los Delincuentes Cibernéticos ahora tienen la experiencia y las herramientas necesarias para
derribar la infraestructura y los sistemas críticos. Sus herramientas y técnicas continúan
evolucionando.
• Mantener una red segura garantiza la seguridad de los usuarios de la red y protege los intereses
comerciales. Todos los usuarios deben conocer los términos de seguridad en la tabla.
Términos de
Descripción
seguridad
Un activo es cualquier cosa de valor para la organización. Incluye personas, equipos, recursos y
Activos
datos.
Una vulnerabilidad es una debilidad en un sistema, o su diseño, que podría ser explotada por una
Vulnerabilidad
amenaza.
Una amenaza es un peligro potencial para los activos, los datos o la funcionalidad de la red de
Amenaza
una empresa.
Exploit Un exploit es un mecanismo para tomar ventaja de una vulnerabilidad.
La mitigación es la contra-medida que reduce la probabilidad o la severidad de una posible
Mitigación
amenaza o riesgo. La seguridad de Redes consiste en técnicas de mitigación múltiples.
El riesgo es la probabilidad de que una amenaza explote la vulnerabilidad de un activo, con el
Riesgo objetivo de afectar negativamente a una organización. El riesgo se mide utilizando la probabilidad
de ocurrencia de un evento y sus consecuencias. © 2016 Cisco y/o sus filiales. Todos los derechos reservados.
Estado actual de la ciberseguridad
Vectores de ataques de red
• Un vector de ataque es una ruta por la
cual un atacante puede obtener acceso
a un servidor, host o red. Los vectores
de ataque se originan dentro o fuera de
la red corporativa, como se muestra en
la figura.
• Las amenazas internas tienen el

potencial de causar mayores daños que
las amenazas externas porque los
usuarios internos tienen acceso directo
al edificio y a sus dispositivos de
infraestructura.

Pérdida de datos
Pérdida o filtración de datos son los términos utilizados para describir cuándo los datos se pierden
con o sin intención, son robados o se filtran fuera de la organización. La pérdida de datos puede
generar:
• Daño de la marca/pérdida de la reputación

• Pérdida de la ventaja competitiva
• Pérdida de clientes
• Pérdida de ingresos
• Acciones legales que generen multas y sanciones civiles
• Costo y esfuerzo significativos para notificar a las partes afectadas y recuperarse de la
transgresión
Los profesionales de seguridad de red deben proteger los datos de la organización. Se deben
implementar varios controles de prevención de pérdida de datos (DLP) que combinen medidas
estratégicas, operativas y tácticas.
Pérdida de datos
Vectores de pérdida de
Descripción
datos
Correo electrónico / El correo electrónico o los mensajes de mensajería instantánea interceptados podrían capturarse y
Redes sociales descifrar el contenido.
Dispositivos no Si los datos no se almacenan utilizando un algoritmo de cifrado, entonces el ladrón puede extraer
encriptados datos confidenciales de valor.
Dispositivos de
Los datos confidenciales se pueden perder si el acceso a la nube se ve comprometido debido a
almacenamiento en la
ajustes débiles en la seguridad.
nube
Un riesgo es que un empleado pueda realizar una transferencia no autorizada de datos a un
Medios extraíbles dispositivo USB. Otro riesgo es que el dispositivo USB que contiene datos corporativos de valor se
puede extraviar.
Respaldo físico Los datos confidenciales deben triturarse cuando ya no sean necesarios.
Control de Acceso Las contraseñas o contraseñas débiles que se hayan visto comprometidas pueden proporcionar al
Incorrecto atacante un acceso fácil a los datos corporativos.

3.2 Atacantes

Atacantes
El Hacker
Un hacker es un término común usado para describir a un atacante.
Tipo de Hacker Descripción
Son hackers éticos que utilizan sus habilidades de programación para fines buenos, éticos
Hackers de Sombrero
y legales. Las vulnerabilidades en la seguridad se informan a los desarrolladores para que
Blanco
las corrijan antes de que las vulnerabilidades puedan aprovecharse.
Son personas que cometen delitos y hacen cosas probablemente poco éticas, pero no
para beneficio personal o ni para causar daños. Un hacker de sombrero gris puede
Hackers de Sombrero Gris
divulgar una vulnerabilidad de la organización afectada después de haber puesto en
peligro la red.
Hackers de sombrero Son delincuentes poco éticos que violan la seguridad de una computadora y una red para
negro beneficio personal o por motivos maliciosos, como ataques a la red.

Atacantes
La evolución de los Hackers
La tabla muestra los términos de piratería moderna y una breve descripción de cada una.
Término de
Descripción
Piratería
Estos son adolescentes o hackers inexpertos que corren scripts, ejecutan herramientas y exploits
Script kiddies
existentes para ocasionar daño, pero generalmente no para obtener ganancias.
Agentes de Son generalmente hackers de sombrero gris que intentan descubrir los exploits e informarlos a los
Vulnerabilidad proveedores, a veces a cambio de premios o recompensas.
Estos son hackers de sombrero gris que protestan en público contra las organizaciones o gobiernos
Hacktivistas mediante la publicación de artículos, videos, la filtración de información confidencial y la ejecución de
ataques a la red.
Delincuentes Son hackers de sombrero negro que independientes o que trabajan para grandes organizaciones de
cibernéticos delito cibernético.
Son hackers de sombrero blanco o sombrero negro que roban secretos de gobierno, recopilan
Patrocinados por el inteligencia y sabotean las redes. Sus objetivos son los gobiernos, los grupos terroristas y las
estado corporaciones extranjeras. La mayoría de los países del mundo participan en algún tipo de hacking
patrocinado por el estado.

Atacantes
Cibercriminales
Se calcula que, en todo el mundo, los cibercriminales roban miles de millones de dólares de los
consumidores y las empresas.
Los cibercriminales operan en una economía clandestina donde compran, venden e intercambian
herramientas de ataque, código de explotación de día cero, servicios de botnet, troyanos bancarios,
keyloggers y mucho más.
También compran y venden la información privada y la propiedad intelectual que roban de sus
víctimas.
Los cibercriminales apuntan a pequeñas empresas y consumidores, así como a grandes empresas e
industrias.

Actores de amenazas
Hacktivistas
Dos ejemplos de hacktivistas son Anonymous y el Ejército Electrónico Sirio.
Aunque la mayoría de los grupos hacktivistas no están bien organizados, pueden causar
problemas importantes para los gobiernos y las empresas.
Los hacktivistas tienden a confiar en herramientas bastante básicas y de libre acceso.

Atacantes
Hackers patrocinados por el estado (State-Sponsored)
Los hackers informáticos patrocinados por el estado crean un código de ataque avanzado y
personalizado, a menudo utilizando vulnerabilidades de software previamente no descubiertas
llamadas vulnerabilidades de día cero.
Un ejemplo de un ataque patrocinado por el estado involucró el malware de Stuxnet diseñado para
dañar la planta de enriquecimiento nuclear de Irán.

3.3 Herramientas de los
atacantes

Herramientas de los atacantes
Video – Herramientas de los atacantes
Este video cubrirá lo siguiente:
• Explicar las herramientas de pruebas de penetración
• Explicar tipos de ataque

Herramientas del Atacante
Introducción a las herramientas de Ataque
Para explotar una vulnerabilidad, un actor de amenazas debe tener una técnica o
herramienta.
Con los años, las herramientas de ataque se han vuelto más sofisticadas y altamente
automatizadas.
Estas nuevas herramientas requieren menos conocimiento técnico para su

implementación.

Evolución de las herramientas de seguridad
La tabla destaca categorías de herramientas comunes de prueba de penetración. Observe cómo algunas herramientas son
utilizadas por hackers de sombrero blanco y de sombrero negro. Tenga en cuenta que esta lista no es definitiva, ya que se
desarrollan nuevas herramientas constantemente.
Herramientas de
pruebas de Descripción
penetración
Las herramientas para descodificar contraseñas a menudo se les conoce como herramientas de recuperación de
Decodificadores de contraseña y pueden ser usadas para decodificar o recuperar una contraseñar. Los decodificadores de contraseñas hacen
contraseñas intentos repetidos para averiguar la contraseña. Algunos ejemplos de herramientas para decodificar contraseñas son: John
the Ripper, Ophcrack, L0phtCrack, THC Hydra, RainbowCrack y Medusa.
Las herramientas de hacking inalámbrico se utilizan para hackear intencionalmente una red inalámbrica con el fin de
Herramientas de
detectar vulnerabilidades en la seguridad. Algunos ejemplos de herramientas de hacking inalámbrico son: Aircrack-ng,
Hacking Inalámbrico
Kismet, InSSIDer, KisMAC, Firesheep, and ViStumbler.
Escaneo de Redes y
Las herramientas de análisis de red se utilizan para sondear dispositivos de red, servidores y hosts para puertos TCP o
Herramientas de
UDP abiertos. Algunos ejemplos de herramientas de escaneo: Nmap, SuperScan, Angry IP Scanner y NetScanTools.
Hacking
Herramientas para
Estas herramientas se utilizan para sondear y probar la solidez de un firewall usando paquetes especialmente diseñados.
elaborar paquetes de
Algunos ejemplos son: Hping, Scapy, Socat, Yersinia, Netcat, Nping y Nemesis.
prueba
Estas herramientas se utilizan para capturar y analizar paquetes dentro de redes tradicionales LAN Ethernet o WLAN.
Sniffers de paquetes Algunas herramientas son las siguientes: Wireshark, Tcpdump, Ettercap, Dsniff, EtherApe, Paros, Fiddler, Ratproxy y
SSLstrip. © 2016 Cisco y/o sus filiales. Todos los derechos reservados.
Evolución de las Herramientas de Seguridad (Cont.)
Herramientas de Pruebas
Descripción
de Penetración
Se trata de un comprobador de integridad de archivos y directorios utilizado por hackers de sombrero blanco para
Detectores de Rootkits
detectar rootkits instalados. Algunos ejemplos de herramientas: AIDE, Netfilter y PF: OpenBSD Packet Filter.
Fuzzers para buscar Los fuzzers son herramientas usadas por los atacantes cuando intentan descubrir las vulnerabilidades de seguridad
Vulnerabilidades de una computadora. Algunos ejemplos de fuzzers: Skipfish, Wapiti y W3af.
Herramientas de Estas herramientas son utilizadas por los hackers de sombrero blanco para detectar cualquier rastro de evidencia
Informática Forense existente en una computadora. Algunos ejemplos de herramientas: Sleuth Kit, Helix, Maltego y Encase.
Los hackers de sombrero negro utilizan estas herramientas para aplicar ingeniería inversa en archivos binarios
Depuradores cuando programan ataques. También las utilizan los sombreros blancos cuando analizan malware. Algunas
herramientas de depuración son las siguientes: GDB, WinDbg, IDA Pro e Immunity Debugger.
Sistemas Operativos Estos son sistemas operativos especialmente diseñados precargados con herramientas optimizadas para hacking.
para Hacking Algunos ejemplos de sistemas operativos especialmente diseñados para hacking son Kali Linux, BackBox Linux.
Las herramientas de encriptación utilizan esquemas de algoritmo para codificar los datos a fin de prevenir el acceso
Herramientas de Cifrado no autorizado a los datos encriptados. Algunos ejemplos de estas herramientas son VeraCrypt, CipherShed,
OpenSSH, OpenSSL, Tor, OpenVPN y Stunnel.
Estas herramientas identifican si un host remoto es vulnerable a un ataque de seguridad. Algunos ejemplos de
Herramientas para
herramientas de explotación de vulnerabilidades son Metasploit, Core Impact, Sqlmap, Social Engineer Toolkit y
Atacar Vulnerabilidades Netsparker.
Estas herramientas analizan una red o un sistema para identificar puertos abiertos. También pueden utilizarse para
Escáneres de
escanear vulnerabilidades conocidas y explorar máquinas virtuales, dispositivos BYOD y bases de datos de clientes.
vulnerabilidades Algunos ejemplos de herramientas son Nipper, Core Impact, Nessus,© 2016
SAINT y OpenVAS.
Cisco y/o sus filiales. Todos los derechos reservados.
Herramientas de los agentes de ataques
Tipos de ataques
Tipo de Ataque Descripción
Ataque de intercepción pasiva Esto sucede cuando un hacker captura y "escucha" el tráfico de red. Este ataque también se conoce como sniffing
(eavesdropping) o snooping.
Ataque de Modificación de Si los hackers han obtenido tráfico de la empresa, pueden alterar los datos en el paquete sin el conocimiento del
Datos remitente o del receptor.
Ataque de suplantación de
Un atacante crea un paquete IP que parece provenir de una dirección válida dentro de la intranet corporativa.
dirección IP
Si los harckers descubren una cuenta válida de usuario, los hackers tienen los mismos derechos que el usuario
Ataques basados en
real. Los hackers pueden usar una cuenta válida para obtener listas de otros usuarios, información de red,
contraseñas
cambios de servidor y configuraciones de red, y modificar, redirigir o borrar datos.
Un ataque de DoS impide el uso normal de una computadora o red por parte de usuarios válidos. Un ataque de
Ataque de Denegación de DoS también puede saturar una computadora o toda la red con tráfico hasta que se apaguen por sobrecarga. Un
Servicio ataque de DoS también puede bloquear tráfico; eso deriva en la pérdida de acceso a recursos de red por parte de
usuarios autorizados.
Este ataque se produce cuando los hackers se colocan entre un origen y un destino. Entonces ahora pueden
Ataque man-in-the-middle
monitorear, capturar y controlar la comunicación en forma activa y transparente.
Si un atacante obtiene una clave secreta, esa clave se conoce como una clave de riesgo. Una clave comprometida
Ataque de Claves
puede utilizarse para obtener acceso a una comunicación asegurada sin que el emisor ni el receptor se enteren del
Comprometidas
ataque.
Un analizador de protocolos es una aplicación o un dispositivo que puede leer, monitorear y capturar intercambios
Ataque de analizador de
de datos en la red y leer paquetes de red. Si los paquetes no están cifrados, un analizador de protocolos permite
protocolos
ver por completo los datos que los componen. © 2016 Cisco y/o sus filiales. Todos los derechos reservados.
3.4 - Malware

Malware
Descripción General del Malware
• Ahora que conoce las herramientas que usan los hackers, este tema le presenta los diferentes
tipos de malware que utilizan los hackers para obtener acceso a dispositivos finales.
• Los terminales son especialmente propensos a ataques de malware. Es importante saber acerca
del malware porque los atacantes confían en que los usuarios instalen malware para explotar las
brechas de seguridad.

Malware
Virus y Caballos de Troya
• El primer tipo de malware informático y el más común son los virus. Los virus requieren una
acción humana para propagarse e infectar otros equipos.
• Se ocultan al adjuntarse al código informático, al software o a los documentos en la computadora.

Cuando se abre, el virus se ejecuta e infecta el equipo.
• Los virus pueden:

o Modificar, dañar, eliminar archivos o borrar discos duros completos.
o Causar problemas de arranque del equipo y dañar aplicaciones.
o Capturar y enviar información confidencial a los atacantes.
o Acceder a cuentas de correo electrónico y utilizarlas para propagarse.
o Permanecer inactivo hasta que el atacante lo requiera.

Malware
Virus y Caballos de Troya (Cont.)
Los virus modernos se desarrollan con intenciones muy específicas, como las indicadas en la tabla.
Tipos de virus Descripción
Virus en el sector de El virus ataca el sector de arranque, la tabla de particiones de archivos o el sistema de
arranque archivos.
Virus de firmware El virus ataca el firmware del dispositivo.
Virus de macros El virus utiliza la función de macros de MS Office con fines maliciosos.
Virus del programa El virus se introduce en otro programa ejecutable.
Virus de script El virus ataca al intérprete del SO que se utiliza para ejecutar los scripts.

Malware
Virus y Caballos de Troya (Cont.)
Los atacantes usan caballos de Troya para comprometer a los hosts. Un Troyano es un programa que
parece útil pero también transporta código malicioso. Los Troyanos a menudo se proporcionan con
programas gratuitos en línea, como los juegos de computadora. Existen varios tipos de caballos de
Troya como se describen en la tabla.
Tipo de Caballo de
Descripción
Troya
Acceso remoto El Troyano activa el acceso remoto no autorizado.
Envío de datos El Troyano le proporciona al atacante datos confidenciales, como contraseñas.
Destructivo El Troyano daña o elimina archivos.

El Troyano usará el equipo de la víctima como dispositivo de origen para lanzar ataques y realizar
Proxy
otras actividades ilegales.
FTP El Troyano habilita servicios no autorizados de transferencia de archivos en dispositivos finales.
Desactivador de software
El Troyano detiene el funcionamiento de los programas antivirus o firewall.
de seguridad
Denegación de servicio
Caballo de Troya de DoS: retarda o detiene la actividad de red.
(DoS)
El Troyano intenta activamente robar información confidencial, como números de tarjetas de crédito,
Keylogger
registrando las pulsaciones de teclas efectuadas en un formulario web. de Cisco.
Información confidencial 36
Malware
Otros Tipos de Malware
Malware Descripción
•El Adware se suele distribuir en las descargas de software.

•El Adware puede mostrar anuncios no solicitados mediante ventanas emergentes del navegador web, nuevas barras de
Adware
herramientas o redireccionamientos inesperados a un sitio web diferente
•Las ventanas emergentes pueden ser difíciles de controlar, ya que las modernas son más rápidas que la mano del usuario.
•El Ransomware generalmente cifra los archivos de la PC para que el usuario no pueda acceder a ellos y luego presenta un
mensaje donde se exige un rescate para suministrar la clave de descifrado.
Ransomware
•Los Usuarios sin copias de respaldo actualizadas deben pagar el rescate para descifrar sus archivos.
•Por lo general, el pago se hace mediante transferencia bancaria o divisas criptográficas como bitcoines.
•Los atacantes usan los Rootkits para obtener acceso a nivel de cuenta de administrador a una PC.
•Son muy difíciles de detectar porque pueden alterar el firewall, la protección antivirus, los archivos del sistema e incluso los
comandos del SO para ocultar su presencia.
Rootkit
•Pueden proveer una puerta trasera para que los atancantes accedan al equipo, carguen archivos e instalen nuevo software para
utilizarlo en un ataque DDoS.
•Se deben utilizar herramientas especiales para eliminar los rootkits y a veces es necesario reinstalar el sistema completo.
•Es similar al adware, pero se utiliza para recopilar información sobre el usuario y enviarla sin su consentimiento a los atacantes.
Spyware •El Spyware puede ser una amenaza menor que recopile datos de navegación, o bien, puede ser una amenaza importante que
recopile información personal y financiera.
•Es un programa que se replica a sí mismo y se propaga automáticamente sin participación del usuario, al aprovechar
vulnerabilidades de software legítimo.
Gusano
•Utiliza la red para buscar otras víctimas con la misma vulnerabilidad.
•El objetivo de los gusanos suele ser quitar velocidad o interrumpir las operaciones de redes.
3.5 Ataques de Red
Comunes

Ataques de Red Habituales
Resumen de los Ataques de Red Habituales
• Cuando se entrega e instala malware, la carga útil puede usarse para causar una variedad de
ataques relacionados con la red.
• Para mitigar los ataques, es útil comprender los tipos de ataques. Al clasificarlos, es posible
abordar los ataques por tipo, en lugar de abordarlos individualmente.
• Las redes son susceptibles a los siguientes tipos de ataques:

o Ataques de sondeo
o Ataques de Acceso
o Ataques de DoS

Ataques Comunes a Redes
Video - Resumen de los Ataques a Redes Comunes
Este video explicará las siguientes técnicas empleadas en el ataque de sondeo:
• Realiza una consulta de información a un objetivo

• Inicia un barrido de ping de la red de destino
• Inicia un análisis de puertos de las direcciones IP activas
• Ejecuta escáneres de vulnerabilidades
• Ejecuta herramientas de ataque

Ataques de Sondeo
• El sondeo se conoce como recopilación de información.
• Los atacantes utilizan ataques de sondeo para realizar la detección no autorizada y el análisis de
sistemas, servicios o vulnerabilidades. Los ataques de sondeo preceden los ataques de acceso o
DoS attacks.

Ataques de Sondeo (Cont.)
En la tabla se describen algunas de las técnicas utilizadas por los atacantes para realizar ataques de sondeo.
Técnica Descripción
Realizar una consulta

El atacante está buscando información inicial sobre un objetivo. Se pueden usar varias
de información de un
herramientas, incluida la búsqueda de Google, páginas web de organizaciones, whois y más.
objetivo
Iniciar un barrido de
La consulta de información generalmente revela la dirección de red del objetivo. El atacante
ping de la red de
ahora puede iniciar un barrido de ping para determinar cuál dirección IP está activa.
destino
Iniciar un análisis de
Esto se utiliza para determinar qué puertos o servicios están disponibles. Algunos ejemplos de
puertos de las
escáneres de puertos incluyen Nmap, SuperScan, Angry IP Scanner y NetScan Tools.
direcciones IP activas
Útil para consultar los puertos identificados para determinar el tipo y la versión de la aplicación
Ejecutar escáneres de
y el sistema operativo que el host está ejecutando. Algunos ejemplos de herramientas son
vulnerabilidades
Nipper, Core Impact, Nessus, SAINT y OpenVAS.
El atacante ahora intenta descubrir servicios vulnerables que pueden ser abusados. Una
Ejecutar herramientas
variedad de herramientas de explotación de vulnerabilidades existen, incluyendo: Metasploit,
de ataque
Core Impact, Sqlmap, Social Engineer Toolkit y Netsparker.

Video - Ataques de Acceso e Ingeniería Social
• Técnicas usadas en los ataques de acceso (ataques de contraseña, ataques de falsificación,

ataque de confianza, desviaciones de puertos, ataques de intermediarios, ataques de
desbordamiento de búfer)
• Técnicas usadas en los ataques de ingeniería social (pretesting, phishing, spear phishing, spam,
something for something, baiting, impersonation, tailgating, shoulder surfing, dumpster diving)

Ataques de acceso
• Los ataques de acceso aprovechan vulnerabilidades conocidas en servicios de autenticación,
servicios FTP y servicios web. El propósito de este tipo de ataques es obtener acceso a cuentas
web, bases de datos confidenciales y otra información confidencial.
• Los atacantes usan ataques de acceso en dispositivos de red y computadoras para recuperar
datos, obtener acceso o escalar privilegios de acceso al rol de administrador.
• Ataques de contraseña: En un ataque de contraseña, el atacante intenta descubrir contraseñas
críticas del sistema utilizando varios métodos. Los ataques de contraseña son muy comunes y
pueden iniciarse utilizando una variedad de herramientas para descifrar contraseñas.
• Ataque Spoofing o de falsificación: En los ataques de falsificación, el dispositivo del atacante
intenta hacerse pasar por otro dispositivo falsificando datos. Los ataques comunes de
suplantación de identidad incluyen suplantación de IP, suplantación de MAC y suplantación de
DHCP. Estos ataques de suplantación se analizarán con más detalle más adelante en este
módulo.
• Otros ataques de acceso incluyen:
o Ataque de confianza
o Redireccionamiento de puertos
o Ataques de man-in-the-middle © 2016 Cisco y/o sus filiales. Todos los derechos reservados.
o Ataques de desbordamiento de búfer o Buffer overflow
Ataques de Ingeniería Social
• La ingeniería social es un ataque de acceso que intenta manipular a las personas para que
realicen acciones o divulguen información confidencial. Algunas técnicas son presenciales,
mientras que otras pueden ser por teléfono o Internet.
• Los ingenieros sociales, a menudo, se aprovechan de la disposición que tienen las personas a
ayudar. También se aprovechan de las debilidades de los demás.

Ataques de Ingeniería Social Descripción
Pretexto Un atacante finge necesitar datos personales o financieros para confirmar la identidad del destinatario.
Suplantación de identidad El atacante envía un mensaje fraudulento que parece ser de una fuente legítima y confiable, para hacer que el
(phishing) destinatario instale malware en su dispositivo o revele información personal o financiera.
Suplantación de identidad El atacante crea un ataque de suplantación de identidad (phishing) dirigido específicamente a una persona u
focalizada (spear phishing) organización.
Correo electrónico no También conocido como correo basura, es correo electrónico no solicitado que suele contener enlaces nocivos,
deseado malware o información engañosa.
Algo por algo (something for A veces se denomina "quid pro quo" y es cuando el atacante solicita información personal a cambio de algo
something) como un obsequio.
Un atacante deja deliveradamente una unidad flash infectada con malware en un sitio público. Una víctima
Carnada (Baiting)
encuentra la unidad, la coloca en su equipo portátil y sin darse cuenta instala malware.
Simulación de identidad
Este tipo de ataque es donde un atacante finge ser alguien más para ganarse la confianza de la víctima.
(Impersonation)
Es un tipo de ataque presencial en el cual el atacante sigue muy de cerca a una persona autorizada para poder
Infiltración (tailgating)
acceder a un área protegida.
Espiar por encima del hombro Es un tipo de ataque presencial en el cual el atacante mira con disimulo sobre el hombro de una persona para
(shoulder surfing) robar sus contraseñas u otra información.
Inspección de basura
Tipo de ataque presencial en el cual el atacante hurga en la basura en busca de documentos confidenciales.
(Dumpster diving)
• El Kit de herramientas de ingeniería social
(SET, Social Engineering Toolkit) fue
diseñado por TrustedSec para ayudar a los
hackers de sombrero blanco y a otros
profesionales de seguridad de la red a crear
ataques de ingeniería social para poner a
prueba sus propias redes.
• Las empresas deben capacitar y educar a

sus usuarios sobre los riesgos de la
ingeniería social, y desarrollar estrategias
para validar las identidades por teléfono,
por correo electrónico o en persona.
• En la figura, se presentan las prácticas

recomendadas que deben seguir todos los
usuarios.
Ataques Comunes a Redes
Práctica de Laboratorio: Ingeniería Social
En esta práctica de laboratorio, se investigarán ejemplos de ingeniería social y se
identificarán maneras de reconocerla y evitarla.

Video – Ataques por Denegación de Servicio
• Técnicas usas en los ataques de Denegación de Servicios (cantidad abrumadora de tráfico,
paquetes mal formateados)
• Técnicas usadas en los ataques de Distribución de Denegación de Servicio (zombies)

Ataques de DoS y DDoS
• Un ataque de Denegación de Servicio (DoS) crea algún tipo de interrupción de los servicios de
red para usuarios, dispositivos o aplicaciones. Existen dos tipos principales de ataques de DoS:
o Cantidad abrumadora de tráfico- el atacante envía una gran cantidad de datos a una
velocidad que la red, el host o la aplicación no puede manejar. Esto hace que los tiempos
de transmisión y respuesta disminuyan. También puede bloquear un dispositivo o servicio.
o Paquetes Mal Formateados- El atacante envía un paquete malicioso formateado a un
host o una aplicación y el receptor no puede manejarlo. Esto hace que el dispositivo
receptor funcione muy lentamente o se detenga.
• Los ataques de DoS son un riesgo importante porque pueden interrumpir fácilmente la
comunicación y causar una pérdida significativa de tiempo y dinero. Estos ataques son
relativamente simples de ejecutar, incluso si lo hace un agente de amenaza inexperto.
• Un ataque de DoS distribuida (DDoS) es similar a un ataque de DoS pero proviene de múltiples
fuentes coordinadas.

3.6 Vulnerabilidades y
Amenazas de IP

Vulnerabilidades y amenazas de IP
Video – Ataque comunes de IP y ICMP
• Técnicas usadas en los ataques de IP (ataques ICMP, ataques de amplificación y reflexión,
ataques de intermediarios, robo de sesión)
• Técnicas usadas en ataques ICMP (ICMP "echo request" y "echo reply", ICMP unreachable,
ICMP mask reply, ICMP redirects, ICMP router discovery)

Vulnerabilidades y Amenazas de IP
IPv4 e IPv6
• El protocolo IP no valida si la dirección IP de origen contenida en un paquete realmente provino
de esa fuente. Por eso, los atacantes pueden enviar paquetes con una dirección IP de origen
falsa. Los analistas de seguridad deben entender los diferentes campos en los encabezados IPv4
e IPv6.
• Algunos de los ataques relacionados con IP más comunes se muestran en la tabla.
Técnicas de Ataque IP Descripción
Los atacantes utilizan paquetes de eco (pings) del protocolo de mensajería de control de Internet
Ataques ICMP (ICMP) para detectar subredes y hosts en una red protegida para generar ataques de saturación de
DoS y para modificar las tablas de routing de los hosts.
Ataques de Amplificación y
Los atacantes intentan impedir que usuarios legítimos tengan acceso a información o servicios.
reflexión
Ataques de suplantación de Los atacantes suplantan la dirección IP de origen en un paquete de IP para realizar suplantación blind
direcciones o non-blind.
Los atacantes se posicionan entre un origen y un destino para monitorear, capturar y controlar la
Ataques man-in-the-middle
comunicación en forma transparente. Simplemente pueden escuchar en silencio mediante la
(MITM)
inspección de paquetes capturados o modificar paquetes y reenviarlos a su destino original.
Los atacantes obtienen acceso a la red física y, luego, usan un ataque de MITM para secuestrar una
Secuestros de sesiones
sesión.
Ataques ICMP
• Los agentes de amenaza utilizan el ICMP para los ataques de reconocimiento y análisis. Esto les
permite iniciar ataques de recopilación de información para conocer la disposición de una
topología de red, detectar qué hosts están activos (dentro del alcance), identificar el sistema
operativo del host (identificación del SO) y determinar el estado de un firewall. Los atacantes
también usan ICMP para ataques DoS.
• Nota: ICMP para IPv4 (ICMPv4) e ICMP para IPv6 (ICMPv6) son susceptibles a ataques
similares.
• Las redes deben tener filtros estrictos de lista de control de acceso (ACL) en el perímetro de la
red para evitar sondeos de ICMP desde Internet. En el caso de redes grandes, los dispositivos de
seguridad (como firewalls y sistemas de detección de intrusiones o IDS) deben detectar este tipo
de ataques y generar alertas para los analistas de seguridad.

Ataques ICMP (Cont.)
Los mensajes comunes de ICMP de interés para los atacantes se enumeran en la tabla.
Mensajes ICMP utilizados por los Hackers Descripción
"Echo request" y "echo reply" de ICMP Esto se utiliza para realizar la verificación del host y los ataques DoS.
"Unreachable" de ICMP Se usa para realizar ataques de reconocimiento y análisis de la red.
"Mask reply" de ICMP Se utiliza para alcanzar una red IP interna.
Se utiliza para lograr que un host de destino envíe todo el tráfico a través de un
"Redirect" de ICMP
dispositivo atacado y crear un ataque de MITM.
"Router discovery" de ICMP Se usa para inyectar rutas falsas en la tabla de routing de un host de destino.

Video – Amplificación, reflexión y Suplantación de identidad
Este video explicará los ataques de amplificación, reflexión y suplantación de identidad.

Ataques de reflejo y amplificación
• Los atacantes suelen usar técnicas de

amplificación y reflejo para crear
ataques de DoS. En la figura se ilustra
cómo se usa un ataque "Smurf” para
abrumar un host objetivo.
Nota: Ahora se utilizan nuevas formas de

ataques de amplificación y reflejo, como
ataques de amplificación y reflejo con base en
DNS y ataques de amplificación de NTP.
• Los atacantes también utilizan

ataques de agotamiento de recursos
de un host objetivo a fin de que deje
de funcionar o para consumir los
recursos de una red.
Ataques de Suplantación de Direcciones
• Los ataques de suplantación de dirección IP se producen cuando un atacante crea paquetes con
información falsa de la dirección IP de origen para ocultar la identidad del remitente o hacerse
pasar por otro usuario legítimo. La suplantación de dirección IP suele formar parte de otro ataque
denominado ataque Smurf.
• Los ataques de Suplantación pueden ser "blind" (ciegos) o "non-blind" (no ciegos):
o Suplantación no ciega (Non-blind spoofing): El atacante puede ver el tráfico que se envía
entre el host y el destino. Esta técnica determina el estado de un firewall y la predicción del
número de secuencia. También puede secuestrar una sesión autorizada.
o Suplantación ciega (blind spoofing): El atacante no puede ver el tráfico que se envía entre
el host y el destino. Este tipo de ataque se utiliza en ataques de DoS.
• Los ataques de suplantación de dirección MAC se utilizan cuando los atacantes tienen acceso a
la red interna. Los atacantes cambian la dirección MAC de su host para que coincida con otra
dirección MAC conocida de un host de destino.

3.7 Vulnerabilidades de TCP
y UDP

Vulnerabilidades de TCP y UDP
Encabezado de segmento TCP
• La información de segmento de TCP aparece
inmediatamente después del encabezado de
IP. Los campos del segmento de TCP y Bits
de control aparecen en la figura.
• Los siguientes son los seis bits de control del

segmento TCP:
o URG - campo indicador urgente
significativo
o ACK - campo de reconocimiento
significativo
o PSH - función de empuje
o RST- restablecer la conexión
o SYN- sincronizar números de secuencia
o FIN - no hay más datos del emisor
Servicios TCP
El TCP ofrece los siguientes servicios:
• Entrega confiable- TCP incorpora reconocimientos para garantizar la entrega. Si no se recibe un
acuse de recibo oportuno, el emisor retransmite los datos. Requerir acuses de recibo de los datos
recibidos puede causar retrasos sustanciales. Algunos ejemplos de los protocolos de capa de
aplicación que hacen uso de la confiabilidad de TCP incluyen HTTP, SSL/TLS, FTP y
transferencias de zona DNS.
• Control de flujo- el TCP implementa el control de flujo para abordar este problema. En lugar de
confirmar la recepción de un segmento a la vez, varios segmentos se pueden confirmar con un
único acuse de recibo.
• Comunicación con estado- la comunicación con estado del TCP entre dos partes ocurre gracias
a la comunicación tridireccional de TCP.

Servicios TCP (Cont.)
Una conexión TCP se establece
en tres pasos:
1. El cliente de origen solicita
una sesión de comunicación
de cliente a servidor con el
servidor.
2. El servidor acusa recibo de la
sesión de comunicación de
cliente a servidor y solicita una
sesión de comunicación de
servidor a cliente.
3. El cliente de origen acusa
recibo de la sesión de
comunicación de servidor a
cliente.

Ataques de TCP
Ataque de Inundación SYN a
TCP
1. El atacante envía múltiples
solicitudes SYN a un servidor
web.
2. El servidor web responde con
SYN-ACK para cada solicitud
SYN y espera para completar
el protocolo de enlace de tres
vías. El actor de la amenaza
no responde a los SYN-ACK.
3. Un usuario válido no puede
acceder al servidor web
porque el servidor web tiene
demasiadas conexiones TCP
a medio abrir.

Ataques de TCP (Cont.)
La finalización de una sesión TCP utiliza el
siguiente proceso de intercambio de cuatro vías:
1. Cuando el cliente no tiene más datos para
enviar en la transmisión, envía un segmento
con el indicador FIN establecido.
2. El servidor envía un ACK para acusar recibo
del FIN para terminar la sesión de cliente a
servidor.
3. El servidor envía un FIN al cliente para
terminar la sesión de servidor a cliente.
4. El cliente responde con un ACK para dar
acuse de recibo del FIN desde el servidor.
Un atacante podría efectuar un ataque de
restablecimiento de TCP y enviar un paquete
falso con un RST de TCP a uno o ambos
terminales.

Ataques de TCP (Cont.)
Otra vulnerabilidad es el secuestro de sesiones de TCP. Aunque es difícil de realizar, permite que un
atacante tome el control de un host ya autenticado mientras se comunica con el destino.
El atacante tendría que suplantar la dirección IP de un host, predecir el siguiente número de

secuencia y enviar un ACK al otro host. Si tiene éxito, el atacante puede enviar, pero no recibir, datos
desde el dispositivo de destino.

Encabezado de segmento TCP y Funcionamiento
• DNS, TFTP, NFS y SNMP utilizan comúnmente UDP. También lo utilizan aplicaciones en tiempo
real, como la transmisión multimedia o VoIP. UDP es un protocolo de capa de transporte sin
conexión. Tiene una sobrecarga mucho menor que TCP ya que no está orientado a la conexión y
no proporciona los mecanismos sofisticados de retransmisión, secuenciación y control del flujo
que ofrecen confiabilidad.
• Significa que estas funciones no las proporciona el protocolo de la capa de transporte, y se
deben implementar aparte si es necesario.
• La baja sobrecarga del UDP es muy deseable para los protocolos que realizan transacciones
simples de solicitud y respuesta.

Ataques de UDP
• UDP no está protegido por ningún tipo de encriptación. Puede agregar cifrado a UDP, pero no
está disponible de forma predeterminada. La falta de encriptación permite que cualquiera vea el
tráfico, lo modifique y lo envíe a su destino.
• Ataques de UDP Flood: El atacante debe usar una herramienta como UDP Unicorn o Low Orbit
Ion Cannon. Estas herramientas envían una avalancha de paquetes UDP, a menudo desde un
host falsificado, a un servidor en la subred. El programa analiza todos los puertos conocidos
intentando encontrar puertos cerrados. Esto hace que el servidor responda con un mensaje de
puerto ICMP inaccesible. Debido a que hay muchos puertos cerrados en el servidor, esto crea
mucho tráfico en el segmento, que utiliza la mayor parte del ancho de banda. El resultado es muy
similar al de un ataque de DoS.

3.8 Servicios IP

Servicios IP
Vulnerabilidades de ARP
• Los hosts transmiten una solicitud de ARP a otros hosts del segmento para
determinar la dirección MAC de un host con una dirección IP específica. El host con
la dirección IP que coincide con la de la solicitud de ARP envía una respuesta de
ARP.
• Cualquier cliente puede enviar una respuesta de ARP no solicitada llamada “ARP
gratuito”. Cuando un host envía un ARP gratuito, otros hosts en la subred almacenan
en sus tablas de ARP la dirección MAC y la dirección IP que contiene dicho ARP.
• Esta característica de ARP también significa que cualquier host puede afirmar ser el
dueño de cualquier IP o MAC que elija. Un atacante puede envenenar la caché de
ARP de los dispositivos en la red local y crear un ataque de MITM para redireccionar
el tráfico.

Servicios IP
Envenenamiento de caché de ARP
El envenenamiento de caché ARP se puede usar para lanzar varios ataques de MITM.
1. La PC-A necesita la dirección MAC de su gateway predeterminado (R1) y, por lo tanto, envía ARP
request para obtener la MAC de 192.168.10.1.
2. El R1 actualiza su caché de ARP con la IP y MAC de la PC-A y envía una respuesta ARP, la cual,
a su vez, actualiza su caché de ARP con la IP y MAC del R1.
3. El atacante envía dos gratuitous ARP falsos usando su propia dirección MAC para la IP de
destino indicada. La PC-A actualiza su caché de ARP y, ahora, el gateway predeterminado
apunta hacia la MAC del host del atacante. El R1 también actualiza su caché de ARP con la
dirección IP de la PC-A y comienza a apuntar a la dirección de MAC del atacante.
El envenenamiento ARP puede ser pasivo o activo: Pasivo cuando los atacantes roban información
confidencial. Activo cuando los atacantes modifican datos en tránsito o inyectan datos maliciosos.

Servicio IP
Video – Suplantación de ARP
Este video explicará un ataque de suplantación ARP.

Servicios IP
Ataques de DNS
• El protocolo de Servicio de Nombres de Dominio (DNS) define un servicio automatizado que
coincide con los nombres de recursos, como www.cisco.com, con su dirección de red numérica,
ya sea dirección IPv4 o IPv6. Incluye el formato para las consultas, respuestas y datos, y usa
registros de recursos (RR) para identificar el tipo de respuesta de DNS.
• La protección de DNS suele pasarse por alto. Sin embargo, es fundamental para el
funcionamiento de una red y debe protegerse correctamente.
• Los ataques DNS incluyen lo siguiente:

o Ataques de resolución abierta de DNS
o Ataques sigilosos de DNS
o Ataques de domain shadowing de DNS
o Ataques de tunelización de DNS

Servicios IP
Ataques de DNS (Cont.)
Ataques de resolución abierta de DNS: Responde las consultas de clientes fuera de su dominio
administrativo. Son vulnerables a múltiples actividades maliciosas descritas en la tabla.
Vulnerabilidades de resolución
Descripción
de DNS
Los atacantes envían registros de recursos (RR) falsificados a una "DNS resolver" para
Ataque de envenenamiento de redirigir a los usuarios de sitios legítimos a sitios maliciosos. Estos ataques se pueden
caché DNS utilizar para informar a la resolución de DNS que utilice un servidor de nombre malicioso
que proporciona información del RR para actividades maliciosas.
Los atacantes usan ataque DoS o DDoS para aumentar el volumen de ataques y para
ocultar la verdadera fuente de un ataque. Los atacantes envían mensajes de DNS a las
Ataque de amplificación y
resoluciones abiertas utilizando la dirección IP de un host de destino. Estos ataques son
reflexión de DNS
posibles porque la resolución abierta responde las consultas de cualquiera que
pregunte.
Un ataque DoS que consume los recursos de los DNS open resolvers. Este ataque de
DoS consume todos los recursos disponibles para afectar negativamente las
Ataques de recursos
operaciones de la resolución de DNS abierta. El impacto de este ataque de DoS puede
disponibles de DNS
requerir el reinicio de la resolución de DNS abierta o la interrupción y el reinicio de los
servicios.

Servicios IP
Ataques de DNS Sigilosas: Para ocultar su identidad, los atacantes también utilizan las técnicas de
DNS sigilosas descritas en la siguiente tabla.
Técnicas de sigilo
Descripción
DNS
Los atacantes utilizan esta técnica para ocultar sus sitios de entrega de phishing y malware en una
red de hosts DNS atacados que cambia rápidamente. Las direcciones IP de DNS cambian
Flujo Rápido
constantemente en apenas minutos. A menudo, los botnets emplean técnicas de flujo rápido para
ocultar con eficacia servidores maliciosos y evitar su detección.
Los atacantes utilizan esta técnica para cambiar rápidamente el nombre de host para las
Flujo IP Doble asignaciones de dirección IP y también cambiar el servidor de nombres autorizados. Esto aumenta
la dificultad para identificar el origen del ataque.
Algoritmos de
Los atacantes utilizan esta técnica en malware para generar aleatoriamente nombres de dominio
generación de
que puedan utilizarse como puntos de encuentro de sus servidores de comando y control (C&C).
dominio

Servicios IP
Ataques de Domain Shadowing de DNS: El domain shadowing implica que el atacante reúna
credenciales de la cuenta de dominio para crear silenciosamente múltiples subdominios para usar
durante los ataques.
Estos subdominios generalmente apuntan a servidores maliciosos sin alertar al propietario real del
dominio principal.

Servicios IP
Túnel de DNS
• Los atacantes que utilizan la tunelización de DNS colocan tráfico que no es DNS en tráfico DNS. Este
método a menudo evita las soluciones de seguridad cuando un atacantes desea comunicarse con bots
dentro de una red protegida, o extraer datos de la organización. Así es como funciona el túnel DNS para
los comandos CnC enviados a una botnet:
1. Los datos se dividen en varias partes codificadas.
2. Cada parte se coloca en una etiqueta de nombre de dominio de nivel inferior de la consulta de DNS.
3. Dado que no hay ninguna respuesta del DNS local o en red para la consulta, la solicitud se envía a
los servidores DNS recursivos del ISP.
4. El servicio de DNS recursivo reenvía la consulta al servidor de nombres autorizado del atacante.
5. El proceso se repite hasta que se envían todas las consultas que contienen las partes.
6. Cuando el servidor de nombre autorizado del atacante recibe las consultas de DNS de los
dispositivos infectados, envía las respuestas para cada consulta de DNS, las cuales contienen los
comandos CnC encapsulados y codificados.
7. El malware en el host atacado vuelve a combinar las partes y ejecuta los comandos ocultos dentro
del registro DNS.
• Para detener el túnel DNS, el administrador de la red debe usar un filtro que inspeccione el tráfico DNS.
Preste especial atención a las consultas de DNS que son más largas de lo normal, o las que tienen un
nombre de dominio sospechoso.
Servicios IP
DHCP
• Los servidores DHCP proporcionan

dinámicamente información de
configuración de IP a los clientes.
• En la figura, un cliente transmite un

mensaje de descubrimiento de DHCP.
El servidor DHCP le responde
directamente con una oferta que
incluye información de direccionamiento
que el cliente puede usar. El cliente
transmite una solicitud DHCP para
decirle al servidor que el cliente acepta
la oferta. El servidor le responde
directamente con un reconocimiento
aceptando la solicitud.

Servicios IP
Ataques de DHCP
• Un ataque de suplantación de DHCP se produce cuando un servidor DHCP malicioso se
conecta a la red y brinda parámetros de configuración IP falsos a los clientes legítimos. Un
servidor malicioso puede proporcionar una variedad de información engañosa:
• Gateway predeterminado incorrecto: El atacante proporciona un gateway no válido o la

dirección IP de su host para crear un ataque de MITM. Esto puede pasar totalmente inadvertido,
ya que el intruso intercepta el flujo de datos por la red.
• Servidor DNS incorrecto: El atacante proporciona una dirección del servidor DNS incorrecta
que dirige al usuario a un sitio web malicioso.
• Dirección IP incorrecta: El atacante proporciona una dirección IP no válida, una dirección IP de

puerta de enlace predeterminada no válida o ambas. Luego, el agente de amenaza crea un
ataque de DoS en el cliente DHCP.

Servicios IP
Ataques de DHCP (Cont.)
Supongamos que un atacante conecta con éxito un servidor DHCP malicioso a un puerto
de switch en la misma subred de los clientes objetivos. El objetivo del servidor malicioso
es proporcionarles a los clientes información de configuración de IP falsa.
1. El cliente emite una solicitud de detección de DHCP en busca de una respuesta de un

servidor DHCP. Ambos servidores recibirán el mensaje.
2. El servidor DHCP malicioso y el legítimo responden ambos con parámetros de
configuración de IP válidos. El cliente responde a la primera oferta recibida.
3. El cliente recibió primero la oferta del servidor malicioso y emite una solicitud de
DHCP aceptando los parámetros. El servidor legítimo y el dudoso recibirán la
solicitud.
4. Solamente el servidor malicioso emite una respuesta individual al cliente para acusar
recibo de su solicitud. El servidor legítimo deja de comunicarse con el cliente porque
la solicitud ya ha sido reconocida.

Servicios IP
Lab – exploración de tráfico
En esta práctica de laboratorio se cumplirán los siguientes objetivos:
• Capturar tráfico DNS

• Explorar tráfico de consultas DNS
• Explorar tráfico de respuestas DNS

3.9 Mejores Prácticas en
Seguridad de Redes

Mejores Prácticas en Seguridad de Redes
Confidencialidad, Disponibilidad e Integridad
• La Seguridad de la Red consiste en proteger la información y los sistemas de información del
acceso, uso, divulgación, interrupción, modificación o destrucción no autorizados.
• La mayoría de las organizaciones siguen la triada de seguridad de la información (CIA, por sus
siglas en inglés):
o Confidencialidad: Solamente individuos, entidades o procesos autorizados pueden tener

acceso a información confidencial. Puede requerir el uso de algoritmos de cifrado criptográfico
como AES para cifrar y descifrar datos.
o Integridad: Se refiere a proteger los datos de modificaciones no autorizadas. Requiere el uso
de algoritmos de hashing criptográficos como SHA.
o Disponibilidad: Los usuarios autorizados deben tener acceso ininterrumpido a los recursos y
datos importantes. Requiere implementar servicios puertas de enlace y enlaces redundantes.

El Enfoque de Defensa en Profundidad
• Para garantizar comunicaciones seguras en redes públicas y privadas, el primer
objetivo es proteger los dispositivos como routers, switches, servidores y hosts. La
mayoría de las organizaciones emplean un enfoque de defensa en profundidad para
la seguridad. Esto requiere una combinación de dispositivos y servicios de red que
trabajen en conjunto.
• Se implementan varios dispositivos de seguridad y servicios:
o VPN
o Firewall ASA
o IPS
o ESA/WSA
o Servidor AAA
• Todos los dispositivos red incluyendo el router y los switches son fortalecidos.
• Además se deben proteger los datos a medida que viajan a través de varios enlaces.

Firewalls
Un firewall es un
sistema o grupo de
sistemas que impone
una política de control
de acceso entre redes.

IPS
• Para defenderse de los ataques rápidos y cambiantes, se podrían necesitar sistemas
rentables de detección y prevención integrados en los puntos de entrada y salida de
la red.
• Las tecnologías IDS e IPS comparten varias características. Ambas tecnologías se
implementan como sensores. Un sensor IDS o IPS puede adoptar la forma de varios
dispositivos diferentes:
o Un router configurado con el software IPS de Cisco IOS.

o Un dispositivo diseñado específicamente para proporcionar servicios de IDS o IPS exclusivos.
o Un módulo de red instalado en un dispositivo de seguridad adaptable (ASA, Adaptive Security
Appliance), switch o router.
• IDS e IPS identifican patrones en el tráfico de la red utilizando un conjunto de reglas llamadas
firmas para detectar actividad maliciosa. Las tecnologías IDS e IPS pueden detectar patrones de
firma atómica (paquete individual) o patrones de firma compuesta (varios paquetes).
Mejores prácticas en seguridad de redes
IPS (Cont.)
La figura muestra cómo un IPS maneja el tráfico
denegado.
1. El atacante envía un paquete destinado a la
computadora portátil objetivo.
2. El IPS intercepta el tráfico y lo evalúa contra
amenazas reconocido y las políticas
configuradas.
3. El IPS envía un mensaje de registro a la
consola de administración.
4. El IPS desecha el paquete.

Dispositivos de Seguridad de Contenido
• El dispositivo de seguridad de correo electrónico de Cisco (ESA) es un dispositivo especial
diseñado para monitorear el protocolo simple de transferencia de correo (SMTP). Cisco ESA se
actualiza constantemente por fuentes en tiempo real del Cisco Talos. Cisco ESA extrae estos
datos de inteligencia de amenazas cada tres o cinco minutos.
• Cisco Web Security Appliance (WSA) es una tecnología de mitigación para amenazas basadas
en la web. Cisco WSA combina protección avanzada contra malware, visibilidad y control de
aplicaciones, controles de políticas de uso aceptable e informes.
• Cisco WSA proporciona un control total sobre cómo los usuarios acceden a internet. La WSA
puede marcar URLs en lista negra, filtrar URLs, escanear malware, categorizar URLs, filtrar
aplicaciones web y encriptar y desencriptar tráfico web.

Criptografía

Criptografía
Video - Criptografía
Este video demostrará la seguridad de datos usando hashing y cifrado.

Criptografía
Comunicaciones Seguras
• Las organizaciones deben proporcionar soporte para proteger los datos a medida que viajan a
través de enlaces. Esto puede incluir el tráfico interno, pero la mayor preocupación es proteger
los datos que viajan fuera de la organización.
• Estos son los cuatro elementos de las comunicaciones seguras:
o Integridad de los datos: Garantiza que el mensaje no se haya modificado. La integridad se
garantiza mediante la aplicación de los algoritmos de generación de hash Message Digest
versión 5 (MD5) o Secure Hash (SHA).
o Autenticación de Origen: Garantiza que el mensaje no sea falso y que provenga de quien
dice ser. Muchas redes modernas garantizan la autenticación con protocolos, como el código
de autenticación de mensaje hash (Hash Message Authentication Code (HMAC).
o Confidencialidad de los datos: Garantiza que solamente los usuarios autorizados puedan
leer el mensaje. La confidencialidad de los datos se implementa utilizando algoritmos de
encriptación simétrica y asimétrica.
o Imposibilidad de Negación de los Datos: Garantiza que el remitente no pueda negar ni
refutar la validez de un mensaje enviado. La imposibilidad de negación se basa en el hecho
de que solamente el remitente tiene características únicas o una firma de cómo tratar el
mensaje.
• La criptografía puede usarse casi en cualquier lugar donde haya©Información
comunicación
confidencial de Cisco. de datos. De
2016 Cisco y/o sus filiales. Todos los derechos reservados.
90
hecho, la tendencia marcha hacia un mundo donde toda la comunicación será cifrada.
Criptografía
Integridad de los Datos
• Las funciones de hash se utilizan para garantizar la integridad de un mensaje. Garantizan que los
datos del mensaje no hayan cambiado accidental o intencionalmente.
• En la Figura, el remitente envía una transferencia de USD 100 a Alex. El emisor quiere
asegurarse de que el mensaje no se altere en su recorrido hasta el receptor:
1. El dispositivo de envío introduce el mensaje en un algoritmo de hash y calcula un hash de
longitud fija de 4ehiDx67NMop9.
2. Luego, este hash se adjunta al mensaje y se envía al receptor. El mensaje y el hash se
transmiten en texto sin formato.
3. El dispositivo receptor elimina el hash del mensaje e introduce el mensaje en el mismo
algoritmo de hash. Si el hash calculado es igual al que se adjunta al mensaje, significa que el
mensaje no se modificó durante su recorrido. Si los hash son no iguales, ya no es posible
garantizar la integridad del mensaje.

Criptografía
Funciones Hash
• Existen tres funciones de hash muy conocidas:
o MD5 con una síntesis de 128 bits:MD5 es una función unidireccional que genera un mensaje
de hash de 128 bits. MD5 es un algoritmo heredado que solo debe usarse cuando no hay
mejores alternativas disponibles. Use SHA-2 en su lugar.
o SHA: SHA-1 es muy similar a las funciones de hash MD5. SHA-1 crea un mensaje hash de
160 bits y es un poco más lento que MD5. SHA-1 tiene defectos conocidos y es un algoritmo
obsoleto. Use SHA-2 cuando sea posible.
o SHA-2: Esto incluye SHA-224 (224 bit), SHA-256 (256 bit), SHA-384 (384 bit), and SHA-512
(512 bit). SHA-256, SHA-384 y SHA-512 son algoritmos de última generación y deben
utilizarse siempre que sea posible.
• Mientras que el hash se puede utilizar para detectar modificaciones accidentales, no brinda
protección contra cambios deliberados. Esto significa que cualquier persona puede calcular un
hash para los datos, siempre y cuando tengan la función de hash correcta.
• Por lo tanto, el hash es vulnerable a los ataques man-in-the-middle y no proporciona seguridad a

los datos transmitidos. © 2016 Cisco y/o sus filiales. Todos los derechos reservados.
Criptografía
Autenticación de Origen
• Para agregar autenticación al control de integridad
se usa un código de autenticación de mensajes
hash con clave (HMAC).
• Un HMAC se calcula utilizando cualquier algoritmo

criptográfico que combine una función hash
criptográfica con una clave secreta.
• Solo las partes que tienen acceso a esa clave

secreta pueden calcular el compendio de una
función de HMAC. Esta característica derrota los
ataques man-in-the-middle y proporciona
autenticación del origen de los datos.

Criptografía
Confidencialidad de Datos
• Hay dos clases de encriptación utilizadas para brindar confidencialidad de los datos. Estas dos
clases se diferencian en cómo utilizan las claves:
• Los algoritmos de cifrado simétricos como (DES), 3DES y el Estándar de cifrado avanzado (AES)
se basan en la premisa de que cada parte que se comunica conoce la clave precompartida. La
confidencialidad también se puede garantizar utilizando algoritmos asimétricos, como Rivest,
Shamir y Adleman (RSA) y la infraestructura de clave pública (PKI).
• En la figura, se destacan algunas diferencias entre cada método de encriptación.

Criptografía
Cifrado Simétrico
• Los algoritmos simétricos utilizan la misma clave precompartida, también llamada una clave
secreta, para encriptar y desencriptar datos. Antes de que ocurra cualquier comunicación
encriptada, el emisor y el receptor conocen la clave precompartida.
• Los algoritmos simétricos cifrados se usan normalmente con el tráfico de VPN porque utilizan
menos recursos de CPU que los algoritmos de encriptación asimétrica.
• Al utilizar algoritmos de encriptación simétrica, mientras más larga sea la clave, más tiempo
demorará alguien en descubrirla. Para garantizar que la encriptación sea segura, se recomienda
una longitud mínima de clave de 128 bits.

Criptografía
Cifrado simétrico (Cont.)
Algoritmos de Encriptación
Descripción
Simétrica
Este es un algoritmo de cifrado simétrico heredado. Puede utilizarse en el cifrado de flujo,

Algoritmo de Cifrado de Datos
pero suele funcionar en el cifrado por bloques al encriptar de datos en bloques de 64 bits.
(DES)
Un cifrado de flujo encripta un byte o un bit a la vez.
Esta es una versión más reciente del DES, pero repite el proceso de algoritmo de DES
3DES
tres veces. Se considera muy confiable cuando se implementa con claves de duración
(triple DES)
muy breve.
AES es un algoritmo seguro y más eficiente que 3DES.

Estándar de encriptación avanzada Es un algoritmo de cifrado simétrico popular y recomendado. Ofrece nueve combinaciones
(AES) de longitud de clave y bloque, utilizando una longitud de clave variable de 128, 192 o 256
bits para encriptar los bloques de datos que son de 128, 192 o 256 bits de largo.
Algoritmo de Cifrado Optimizado SEAL es un algoritmo de cifrado simétrico rápido y alternativo para DES, 3DES y AES.
por Software Usa un llave de cifrado de 160 bit y tiene un menor impacto en la CPU en comparación
(SEAL) con otros algoritmos basados en software.
Este algoritmo fue desarrollado por Ron Rivest. Se han desarrollado numerosas variantes,
Rivest ciphers
pero RC4 es la de uso más frecuente. RC4 es un cifrado de flujo y se utiliza para proteger
(RC) para flujos
el tráfico web de SSL y TLS.

Criptografía
Cifrado Asimétrico
• Los algoritmos asimétricos, también llamados algoritmos de claves públicas, están diseñados para
que la clave de encriptación y la de desencriptación sean diferentes.
• Los algoritmos asimétricos utilizan una clave pública y una privada. La clave complementaria
emparejada es requerida para la desencriptación. Los datos encriptados con la clave privada
requieren la clave pública para desencriptarse. Los algoritmos asimétricos logran confidencialidad,
autenticación e integridad mediante el uso de este proceso.
• Debido a que ninguno de los participantes comparte un secreto, las longitudes de clave deber ser
muy largas. La encriptación asimétrica puede utilizar longitudes de claves entre 512 y 4096 bits.
Longitudes de clave mayores o iguales a 1024 bits son confiables, y mientras que las claves más
cortas no.

Criptografía
Cifrado Asimétrico (Cont.)
• Entre algunos de los ejemplos de protocolos en los que se utilizan algoritmos de claves
asimétricos se incluyen los siguientes:
o Intercambio de claves por Internet (IKE): Es un componente fundamental de las VPN con
IPsec..
o Secure Socket Layer (SSL): Ahora se implementa como Seguridad de la capa de transporte
(TLS) estándar de IETF.
o Secure Shell (SSH): Este protocolo proporciona una conexión segura de acceso remoto a
dispositivos de red.
o Pretty Good Privacy (PGP): Este programa de computadora proporciona privacidad y
autenticación criptográfica. A menudo, se utiliza para aumentar la seguridad de las
comunicaciones por correo electrónico.
• Los algoritmos asimétricos son sustancialmente más lentos que los simétricos. Su diseño se
basa en problemas informáticos, como la factorización de números demasiado grandes o el
cálculo de logaritmos discretos de números demasiado grandes.
• Dado que carecen de velocidad, los algoritmos asimétricos se utilizan típicamente en

criptografías de poco volumen, como las firmas digitales y el intercambio de claves.
Criptografía
Cifrado Asimétrico (Cont.)
Longitud de la
Algoritmo de Cifrado Asimétrico Descripción
Clave
Permite que ambas partes acuerden una clave que pueden utilizar para cifrar los
Diffie-Hellman 512, 1024, 2048, mensajes que quieren enviarse. La seguridad de este algoritmo depende de la
(DH) 3072, 4096 presunción de que resulta sencillo elevar un número a una determinada potencia, pero
difícil calcular qué potencia se utilizó sabiendo el número y el resultado.
Estándar de firmas digitales (Digital

Signature Standard, DSS) DSS especifica DSA como el algoritmo para firmas digitales. DSA es un algoritmo de
y 512 - 1024 clave pública basado en el esquema de firmas ElGamal. La velocidad de creación es
Algoritmo de firmas digitales (Digital similar a la RSA, pero es de 10 a 40 veces más lenta para la verificación.
Signature Algorithm, DSA)
Usado para criptografía de clave pública que se basa en la dificultad actual de

Algoritmos de cifrado Rivest, Shamir factorización de números muy grandes. Es el primer algoritmo apto tanto para firmas
y Adleman Entre 512 y 2048 como para cifrados. Es ampliamente utilizado en protocolos de comercio electrónico y
(RSA) se considera seguro si se utilizan claves suficientemente prolongadas e
implementaciones actualizadas.
Usado para criptografía de claves públicas basado en el acuerdo de claves Diffie-

Hellman. Una desventaja del sistema ElGamal es que el mensaje cifrado se vuelve
ElGamal 512 - 1024
muy grande (aprox. el doble del tamaño del original). Por ello sólo se utiliza con
mensajes pequeños como claves secretas.
Se puede utilizar para adaptar muchos algoritmos de cifrado, como los de Diffie-
Técnicas de curvas elípticas 160 Hellman o ElGamal. La principal ventaja es que las claves pueden ser mucho más
pequeñas. Información confidencial de Cisco. 99
Criptografía
Diffie-Hellman
• Algoritmo matemático asimétrico que permite que dos computadoras generen una clave secreta
idéntica compartida sin antes haberse comunicado. El emisor y el receptor nunca intercambian
realmente la nueva clave compartida.
• Estos son tres ejemplos de casos en los que el algoritmo de DH suele utilizarse:
o Se intercambian datos en una VPN con IPsec
o Se encriptan datos en Internet usando SSL o TLS
o Se intercambian datos de SSH
• La seguridad de DH utiliza números increíblemente grandes en sus cálculos.
• Desafortunadamente, los sistemas de clave asimétrica son extremadamente lentos para

cualquier tipo de encriptación masiva. Por esto, es común encriptar la mayor parte del tráfico
utilizando un algoritmo simétrico (como 3DES o AES) y dejar el algoritmo de DH para crear claves
que serán utilizadas por el algoritmo de encriptación.
Cryptography
Diffie-Hellman (Cont.)
• Los colores en la figura se utilizarán en lugar de números para
simplificar el proceso de acuerdo de claves del algoritmo de DH.
El intercambio de claves del algoritmo de DH comienza con Alice y
Bob eligiendo arbitrariamente un color en común que no tienen
que mantener en secreto. El color acordado en nuestro ejemplo
es el amarillo.
• Luego, Alice y Bob seleccionan un color secreto cada uno. Alice
eligió rojo y Bob, azul. Nunca compartirán estos colores secretos
con nadie. El color secreto representa la clave privada secreta
que cada participante eligió.
• Ahora, Alice y Bob mezclan el color común compartido (amarillo)
con su color secreto respectivo para generar un color privado. Por
lo tanto, Alice mezcla el amarillo con el rojo para obtener el
anaranjado como color privado. Bob mezcla el amarillo y el azul
para obtener verde como color privado.
• Alice envía su color privado (anaranjado) a Bob y Bob le envía el
suyo (verde) a Alice.
• Alice y Bob mezclan cada uno el color que recibieron con su
propio color secreto original (rojo para Alice y azul para Bob). El
resultado es una mezcla final de color marrón que es idéntica a la
mezcla final del otro participante. El color marrón representa la © 2016 Cisco y/o sus filiales. Todos los derechos reservados.
clave secreta que comparten Bob y Alice. Información confidencial de Cisco. 101
3.11 Módulo de Práctica y
Cuestionario

Práctica del Módulo y Cuestionario
¿Qué aprendí en este módulo?
• Las Transgresiones de seguridad en la red pueden interrumpir el comercio electrónico, causar la pérdida
de datos comerciales, amenazar la privacidad de las personas y comprometer la integridad de la
información.
• Las vulnerabilidades deben abordarse antes de que se conviertan en una amenaza y sean explotadas.
Se requieren técnicas de mitigación antes, durante y después de un ataque.
• Un vector de ataque es una ruta por la cual un atacante puede obtener acceso a un servidor, host o red.
Los vectores de ataque se originan dentro o fuera de la red corporativa.
• El término "atacante" incluye piratas informáticos y cualquier dispositivo, persona, grupo o estado
nacional que sea, intencionalmente o no, la fuente de un ataque.
• Con los años, las herramientas de ataque se han vuelto más sofisticadas y altamente automatizadas.
Estas nuevas herramientas requieren menos conocimiento técnico para su implementación.

• Los tipos comunes de ataques son: espionaje, modificación de datos, suplantación de direcciones IP,
basados en contraseña, denegación de servicio, man-in-the-middle, clave comprometida y sniffer.
• Los tres tipos más comunes de malware son los virus, los gusanos y los troyanos.
• Las redes son susceptibles a los siguientes tipos de ataques: sondeo, acceso y DoS.
• Los tipos de ataques de acceso son: contraseña, suplantación de identidad, explotación de confianza,
redireccionamiento de puertos, man-in-the-middle y desbordamiento de búfer.
• Las técnicas de ataque IP incluyen: ICMP, amplificación y reflexión, suplantación de direcciones, MITM y
secuestro de sesión.
• Los agentes de amenaza utilizan el ICMP para los ataques de reconocimiento y análisis. Lanzan ataques
de recopilación de información para trazar una topología de red, descubrir qué hosts están activos
(accesibles), identificar el sistema operativo del host (huellas digitales del sistema operativo) y determinar
el estado de un firewall. Los atacantes suelen usar técnicas de amplificación y reflejo para crear ataques
de DoS.
• Los ataques TCP incluyen: ataque de inundación TCPSYN, ataque de reinicio de TCP y secuestro de
sesión TCP. Los ataques UDP envían una avalancha de paquetes UDP, a menudo desde un host
falsificado, a un servidor en la subred. El resultado es muy similar al de un ataque de DoS.
• Cualquier cliente puede enviar una respuesta de ARP no solicitada llamada “ARP gratuito”. Esto significa
que cualquier host puede reclamar ser el propietario de cualquier IP o MAC. Un agente de amenaza
puede envenenar la caché de ARP de los dispositivos en la red local y crear un ataque de MITM para
redireccionar el tráfico.
• Los ataques DNS incluyen: ataques de resolución abierta, ataques de sigilo, ataques de domain
shadowing y ataques de túnel. Para detener el túnel DNS, el administrador de la red debe usar un filtro
que inspeccione el tráfico DNS.
• Un ataque de suplantación de DHCP se produce cuando un servidor DHCP malicioso se conecta a la red
y brinda parámetros de configuración IP falsos a los clientes legítimos.
• La mayoría de las organizaciones siguen la tríada de seguridad de la información de la CIA:

confidencialidad, integridad y disponibilidad.
• Para garantizar comunicaciones seguras en redes públicas y privadas, el primer objetivo es proteger los
dispositivos, como routers, switches, servidores y hosts. Esto se conoce como defensa en profundidad.
• Un firewall es un sistema o grupo de sistemas que impone una política de control de acceso entre redes.
• Para defenderse contra ataques rápidos y en evolución, es posible que necesite un sistema de detección
de intrusos (IDS) o sistemas de prevención de intrusos (IPS) más escalables.
• Los cuatro elementos de las comunicaciones seguras son integridad de datos, autenticación de origen,
confidencialidad de datos y no repudio de datos.
• Las funciones hash garantizan que los datos del mensaje no hayan cambiado accidental o
intencionalmente.
• Tres funciones hash conocidas son MD5 con resumen de 128 bits, algoritmo de hash SHA y SHA-2.

• Para agregar autenticación al control de integridad, se usa un código de autenticación de mensajes hash
con clave (HMAC). HMAC se calcula utilizando cualquier algoritmo criptográfico que combine una función
hash criptográfica con una clave secreta.
• Los algoritmos de cifrado simétrico que utilizan DES, 3DES, AES, SEAL y RC se basan en la premisa de
que cada parte que se comunica conoce la clave previamente compartida.
• La confidencialidad de los datos también se puede garantizar utilizando algoritmos asimétricos, incluidos
Rivest, Shamir y Adleman (RSA) y la infraestructura de clave pública (PKI). Diffie-Hellman (DH) es un
algoritmo matemático asimétrico que permite que dos computadoras generen una clave secreta idéntica
compartida sin antes haberse comunicado.


ENSA Module 3

Cargado por

Copyright:

Formatos disponibles

ENSA Module 3

Cargado por

Información del documento

Derechos de autor

Formatos disponibles

Compartir este documento

Compartir o incrustar documentos

Opciones para compartir

¿Le pareció útil este documento?

¿Este contenido es inapropiado?

Copyright:

Formatos disponibles

ENSA Module 3

Cargado por

Copyright:

Formatos disponibles

Módulo 3: Conceptos de

Redes empresariales, seguridad y automatización

© 2016 Cisco y/o sus filiales. Todos los derechos reservados.

© 2016 Cisco y/o sus filiales. Todos los derechos reservados.

• Las amenazas internas tienen el

© 2016 Cisco y/o sus filiales. Todos los derechos reservados.

• Daño de la marca/pérdida de la reputación

© 2016 Cisco y/o sus filiales. Todos los derechos reservados.

© 2016 Cisco y/o sus filiales. Todos los derechos reservados.

Tipo de Hacker Descripción

© 2016 Cisco y/o sus filiales. Todos los derechos reservados.

© 2016 Cisco y/o sus filiales. Todos los derechos reservados.

© 2016 Cisco y/o sus filiales. Todos los derechos reservados.

Los hacktivistas tienden a confiar en herramientas bastante básicas y de libre acceso.

© 2016 Cisco y/o sus filiales. Todos los derechos reservados.

© 2016 Cisco y/o sus filiales. Todos los derechos reservados.

© 2016 Cisco y/o sus filiales. Todos los derechos reservados.

© 2016 Cisco y/o sus filiales. Todos los derechos reservados.

Estas nuevas herramientas requieren menos conocimiento técnico para su

© 2016 Cisco y/o sus filiales. Todos los derechos reservados.

© 2016 Cisco y/o sus filiales. Todos los derechos reservados.

© 2016 Cisco y/o sus filiales. Todos los derechos reservados.

• Se ocultan al adjuntarse al código informático, al software o a los documentos en la computadora.

• Los virus pueden:

© 2016 Cisco y/o sus filiales. Todos los derechos reservados.

Tipos de virus Descripción

Virus de firmware El virus ataca el firmware del dispositivo.

Virus del programa El virus se introduce en otro programa ejecutable.

© 2016 Cisco y/o sus filiales. Todos los derechos reservados.

Envío de datos El Troyano le proporciona al atacante datos confidenciales, como contraseñas.

Destructivo El Troyano daña o elimina archivos.

•El Adware se suele distribuir en las descargas de software.

© 2016 Cisco y/o sus filiales. Todos los derechos reservados.

• Las redes son susceptibles a los siguientes tipos de ataques:

© 2016 Cisco y/o sus filiales. Todos los derechos reservados.

• Realiza una consulta de información a un objetivo

© 2016 Cisco y/o sus filiales. Todos los derechos reservados.

© 2016 Cisco y/o sus filiales. Todos los derechos reservados.

Realizar una consulta

© 2016 Cisco y/o sus filiales. Todos los derechos reservados.

• Técnicas usadas en los ataques de acceso (ataques de contraseña, ataques de falsificación,

© 2016 Cisco y/o sus filiales. Todos los derechos reservados.

© 2016 Cisco y/o sus filiales. Todos los derechos reservados.

• Las empresas deben capacitar y educar a

• En la figura, se presentan las prácticas

© 2016 Cisco y/o sus filiales. Todos los derechos reservados.

© 2016 Cisco y/o sus filiales. Todos los derechos reservados.

© 2016 Cisco y/o sus filiales. Todos los derechos reservados.

© 2016 Cisco y/o sus filiales. Todos los derechos reservados.

© 2016 Cisco y/o sus filiales. Todos los derechos reservados.

Técnicas de Ataque IP Descripción

© 2016 Cisco y/o sus filiales. Todos los derechos reservados.

Mensajes ICMP utilizados por los Hackers Descripción

"Unreachable" de ICMP Se usa para realizar ataques de reconocimiento y análisis de la red.

"Mask reply" de ICMP Se utiliza para alcanzar una red IP interna.

© 2016 Cisco y/o sus filiales. Todos los derechos reservados.

© 2016 Cisco y/o sus filiales. Todos los derechos reservados.

• Los atacantes suelen usar técnicas de

Nota: Ahora se utilizan nuevas formas de

• Los atacantes también utilizan