1

CURSO DE ETHICAL HACKING MODULO 1 INTRODUCCIÓN Y CONCEPTOS El objetivo de este curso, es para que aprendan y saquen sus propias conclusiones, de todo lo relacionado a la seguridad informática, siempre y cuando utilizando estos métodos aprendidos para hacer cosas positivas, por ende, no nos hacemos responsables de cualquier actividad delictiva que se realice a través de la enseñanza de este curso; no es ese el objetivo, por lo que el mismo estará basado en la mejor disposición de ustedes para ejercitarse por medio de máquinas virtuales o entornos seguros. Este modulo tiene por objetivo familiarizarse con

PRINCIPIOS FUNDAMENTALES DE LA SEGURIDAD Los tres pilares fundamentales de la seguridad son la CONFIDENCIALIDAD, INTEGRIDAD y DISPONIBILIDAD. Conocido comúnmente como CIA Triad o The Big Three CONFIDENCIALIDAD la Confidencialidad de la Información, a menudo es referida como la necesidad de que la misma sólo sea conocida por personas autorizadas. Un aspecto de suma importancia a tener en cuenta cuando nos referimos particularmente a este principio, es que el nivel de Confidencialidad debe prevalecer no solo mientras que los datos residen en los sistemas y dispositivos dentro de la red, sino también durante su transmisión y almacenamiento en destino. Varias son las amenazas que atentan contra la Confidencialidad: Usuarios pueden intencional o accidentalmente divulgar información sensible al no encriptar la misma antes de que esta le sea enviada a otra persona, pueden ser víctima de algún tipo de ataque de ingeniería social en busca de secretos comerciales, información en tránsito puede ser interceptada por terceros que se encuentren en condiciones de realizar escuchas, etc. La Confidencialidad, a menudo puede ser provista o reforzada, mediante la implementación de un estricto control de acceso, por medio de la encripción de datos (ya sea al momento de almacenar o transmitir los mismos), la puesta en marcha de procesos de Clasificación de la Información, concientización y entrenamiento del personal. Cada uno de ellos suelen ser recursos de suma importancia a la hora de combatir efectivamente aspectos tales como la divulgación no autorizada.

2
INTEGRIDAD La Integridad de la Información es la característica que hace posible garantizar su exactitud y confiabilidad, velando por que su contenido permanezca inalterado a menos que sea modificado por personal autorizado, de modo autorizado y mediante procesos autorizados. A su vez, es de suma importancia que esta modificación sea registrada para posteriores controles o auditorias. Una falla de integridad puede estar dada entre otros, por anomalías en el hardware, software, virus informáticos y/o modificaciones inesperadas. Precisamente, a fin de mantener su integridad, el conjunto de hardware, software y mecanismos intervinientes en el tratamiento de la información, deben ser capaces de trabajar de manera coordinada, a efectos de procesar, mantener y mover los datos a su destino previsto, sin que los mismos sufran cualquier tipo de alteración inesperada. Tanto los sistemas como la red, se deben proteger contra cualquier tipo de interferencia exterior que pueda permitir algún tipo de contaminación. Ambientes en donde existen medidas que refuerzan el principio de Integridad en el tratamiento de la información, permiten asegurar que atacantes o cualquier tipo de error cometido por los usuarios, no serán capaces de comprometer la integridad del sistema o los datos. Cuando un atacante distribuye un virus, una bomba lógica o un backdoor dentro del sistema, la integridad de este es comprometida. Este hecho puede afectar negativamente el principio de integridad de la información, debido a que la misma puede terminar por corromperse, ser contaminada mediante la introducción de datos erróneos/falsos o modificada con fines malévolos. El control de acceso, los sistemas de detección de intrusos, la aplicación de chequeos de integridad, los procedimientos de control de cambios, la separación de funciones y la implementación del principio de “Menor Privilegio”, son solo algunos de los medios utilizados para prevenir problemas de integrida d. DISPONIBILIDAD

La Disponibilidad u Operatividad de la Información es su capacidad de encontrarse siempre disponible, para ser utilizada por las personas autorizadas. A fin de cumplir con este principio, los sistemas y redes deben proveer la capacidad adecuada de procesamiento, actuar de modo previsible y brindar un adecuado nivel de performance. A su vez, ellos deberían ser capaces de recuperarse de interrupciones de manera rápida y segura, a fin de que la productividad no se vea afectada negativamente. Entre las amenazas que afectan el principio de Disponibilidad, se encuentran las fallas relacionadas con el software y hardware, aspectos relacionados con el entorno (calor, frío, humedad, electricidad estática, etc.), desastres naturales, denegaciones de servicios (DoS, DDoS), etc. A fin de prevenir inconvenientes que puedan afectar la Disponibilidad, deben ser implementados mecanismos de protección adecuados, con el fin de reforzar la estrategia de continuidad del negocio definida por la organización, previniendo de este modo amenazas internas o externas. En tal sentido deberían implementarse medidas de resguardo y recuperación, mecanismos redundantes, planes de contingencia, sistemas de prevención y/o detección de intrusos, procedimientos de hardening, etc. A su vez puntos únicos de fallas deberían ser evitados.

pero su propósito principal es la búsqueda y resolución de vulnerabilidades de seguridad que permitieron la intrusión. es importante recordar. que generalmente cuando se evalúa el daño producido por la concreción de una amenaza sobre un activo. que así cómo es posible identificar tres principios fundamentales de seguridad. Modificación (Alteration) y Destrucción/Interrupción (Destruction/Disruption). Una vez más. dicha evaluación con frecuencia es realizada teniendo en cuenta el impacto causado sobre su confidencialidad. Un hacker ético es el nombre adoptado para la realización de pruebas de penetración o intrusión a redes informáticas. Un hacker ético usualmente es un empleado o persona perteneciente a una organización. destruye o interrumpe. a manos de algún tipo de ataque que revela. altera. el cual intenta introducirse a una red informática o un sistema informático.3 LO OPUESTO DEL BIG THREE Es por eso. integridad y disponibilidad. utilizando métodos y técnicas hacker. también lo es identificar sus opuestos referidos como: Revelación (Disclosure). RESPONSABILIDADES DE UN ETHICAL HACKER usar el conocimiento y herramientas solo para propositos legales solo se debe hackear con el afan de identificar problems de seguridad y actuar en la implementacion de la contramedida crear un plan de testeo con parametros exactos .

suele ser utilizado para aquellas personas quienes se encuentran éticamente opuestas al abuso de redes y sistemas. ya sea actuando como oficiales de seguridad. algunas veces actúa legalmente (Tal como un White Hat) y otras no. pero podrían o no cometer un crimen en el proceso de sus tareas o investigaciones. usualmente con la intención de lograr acceso no autorizado a las computadoras de la red. Usualmente no hackean con el objetivo de obtener rédito económico. - - . los White Hat utilizan sus conocimientos con el objeto de proteger los sistemas de información. Crackers Lammers. flamers) White Hats (Hacker Ético) Gray Hats (Esta en el medio Bueno y Malos) Black Hat. sin el permiso de su propietario. White Hat. o reportando vulnerabilidades a los vendors. ChicosMalos. ScripKiddies. Grey Hat. es el término con el que se llama a aquellos quienes comprometen la seguridad de un sistema. Con frecuencia. Trolls. es el término que la comunidad utiliza para referirse a un Hacker que poseyendo el skill suficiente. Estos hackers son un hibrido entre White Hat y Black Hat.4 TIPOS DE HACKERS Black Hats (Espionaje Industrial. personal o causar algún tipo de daño.

nombres de usuarios. el cual se encuentra relacionado con la interacción directa con el objetivo. especialmente a través de los servicios de DNS y WHOIS. pero permite al atacante conocer cuáles pueden ser las implicancias de su ataque. se puede obtener su información de dominio a través de consultas tipo WHOIS . Esto se puede realizar mediante la utilización de técnicas de fingerprinting. de modo tal de dificultar la identificación exacta de los mismos. es de suma importancia limitar en general. buscadores Reconocimiento Activo =>Explorar la red. respecto de las tecnologías utilizadas dentro de la organización. sus acciones suelen agruparse según su tipo en dos categorías: “Reconocimiento Pasivo” el cual involucra la adquisición de información sin interactuar directamente con el objetivo (Ejemplo: Búsqueda de información en sitios públicos) y “Reconocimiento Activo”. En general esta información es pública y no es crítica. etc. nombre de Servidores. mail servers. servicios y dispositivos: Uno de los principales datos que buscan de sus objetivos es la plataforma sobre la que trabajan (Windows. Linux. servicios Generalmente este paso consiste en obtener la siguiente información:  Información de la empresa objetivo: A través de consultas en buscadores de Internet se puede obtener el perfil de la empresa. IP Publica WHITE-BOX Aquí se nos proporciona la mayor información.5 PENETRATION TESTING Es la revisión comprensiva de las vulnerabilidades. en este punto. es necesario restringir la información que se difundirá. routers. lo que permitirá conocer el ámbito legal en que se encuentra . Buscando Puertos abiertos. En general.    Cuando se habla de “Reconocimiento”.) o las versiones exactas de los servicios que sobre ellas se ejecutan. el cómo explotar estas vulnerabilidades y como la red reacciona a estos ataques TIPOS DE PENT TESTING BLACK-BOX GRAY-BOX Aquí se identifica las vulnerabilidades. el atacante seleccionará uno o varios servidores que serán objetivo del ataque . nombre de empleados rango de direcciones IP METODOLOGÍA FASES DE UN ATAQUE FASES DEL PRE-ATAQUE FOOTPRINTING o o Reconocimiento Pasivo =>Recolectar información Sin que este se dé cuenta. etc.). Información del dominio objetivo: Conociendo el nombre de la empresa. Del mismo modo. es decir buscar información en las websites. cualquiera sea el modo (Ejemplo: Ingeniería Social). Identificación de la plataforma. por parte del eventual atacante . Novell. el país donde se encuentra la empresa. como hemos visto. puede realizar consultas NSLOOKUP para conocer cuáles son los servidores que tiene la empresa. la información pública en Internet. Información de los servidores: Una vez que el intruso obtuvo el dominio. Contramedidas Como primer contramedida. También se puede incluir el filtrado de paquetes y la modificación del comportamiento de determinados dispositivos o aplicativos (webservers. aquí nosotros desconocemos el objetivo Aquí se realizan actividades con alguna información del objetivo un dominio URL.

Contramedidas Entre las contramedidas básicas relacionadas con la mitigación del riesgo en esta fase. Las herramientas utilizadas para la tarea. posibles vulnerabilidades relacionadas con los servicios ofrecidos por el sistema. (Ej. sobre la base obtenida en el paso previo de “Reconocimiento”. red o host objetivo.: Cheops-NG) Port scanners: Un port scanner o escaner de puertos.: Nessus) Al término de esta fase. conseguir algún tipo de acceso. y escaneo. de suma importancia para el atacante. sobre los cuales sea posible a partir de un ataque posterior. Estos se componen básicamente de un conjunto de herramientas de descubrimiento. utilizadas para escanear números telefónicos correspondientes a un área o compañía determinada por medio de la utilización de un MODEM (Practica a menudo referida como “wardialing”). Como parte de las tareas a desarrollar durante esta etapa. . es una herramienta diseñada específicamente para indagar un host. computadoras. el atacante intentara identificar diversos puntos de entrada al sistema objetivo. la implementación de sistemas de detección y prevención de intrusos. puertos de servicios abiertos-cerrados-filtrados. Como resultado de la ejecución de este tipo de herramientas. maquinas de fax. (Eh: Toneloc. el atacante a menudo es capaz de construir un mapa de la red objetivo. en la cual el atacante hecha mano a una serie de herramientas genéricamente referidas como escaner's y escanea la red o sistema objetivo con el fin de obtener información específica. es el de hallar dentro del rango especificado. Dicha información incluye pero no se limita a: Sistemas Telefónicos a la espera de comunicaciones entrantes. el atacante debería haber sido capaz de obtener el conjunto de información necesaria. generalmente nos referimos a una etapa previa al ataque. la eliminación en el sistema de los servicios innecesarios. Tmap) Network Mapping Tools: Herramientas automáticas relacionadas con el descubrimiento de host y/o sistemas. host o red. o sistemas de comunicaciones. a efectos de decidir el o los puntos específicos que intentará vulnerar. así como también los servicios que en él se encuentran corriendo. Este tipo de herramientas reúnen las características necesarias como para consultar que hosts se encuentran disponibles. Como tal. etc. serán entre otras: Dialers: Herramientas automáticas de discado telefónico. esta herramienta suele ser de suma utilidad para el atacante.: Nmap) Vulnerability Scanners: Los scanners de vulnerabilidades. contra las cuales se intenta hacer corresponder cada uno de los hallazgos. más una base de datos de vulnerabilidades conocidas. acerca de sus puertos abiertos. son herramientas diseñadas para buscar e identificar vulnerabilidades y/o debilidades en una aplicación. Su principal objetivo.6 SCANNING Aquí se define el objetivo a ser atacado y los diferentes puntos que deben ser controlad Cuando hablamos de la fase de “Escaneo”. a la hora de identificar los puertos abiertos del host objetivo. recorriendo en forma lógica su superficie. (Ej. que servicios en ellos se ejecutan y mucha información adicional. se puede mencionar el filtrado de puertos. (Ej.

Se puede realizar de manera Online como Hydra donde se usa diccionarios. es aquella donde el ataque se materializa o dicho de otro modo el atacante explota una vulnerabilidad en el sistema. NIDSs e IPSs Procedimientos de revisión periódica de logs . Rangos de IP. SO del Objetivo GANAR EL ACCESO AL SISTEMA Se inicia con la aplicación de técnicas de crackeo de Password.7 ENUMERATION Conseguir información sobre usuarios. Este es quizás el paso más crítico del proceso. Debilidad de contraseñas: Una contraseña débil puede permitir el ingreso de intrusos. System. A fin de obtener el acceso al sistema objetivo. Aquí rompemos los esquemas de validación La fase de obtención de acceso. para luego pasar a explotar alguna vulnerabilidad local por medio de la cual logre obtener máximos privilegios (Administrator.    Un ataque puede comenzar con la ejecución de un exploit remoto a partir del cual se logre la obtención de un conjunto de credenciales no privilegiadas (Guest. por lo cual intentará poner en marcha el plan de ejecución que ha sido capaz de establecer a partir de la información y el conocimiento del objetivo que ha obtenido como resultado de fases anteriores. También puede ser de manera Offline como Jhon de Ripper. Contramedidas Entre las contramedidas más importantes a fin de evitar un ataque o minimizar su impacto se encuentra:        Actualización constante del software instalado Definición de políticas de contraseñas Ejecución periódica de análisis de vulnerabilidades y auditoria de código Ejecución de procedimientos de hardening Filtrado de paquetes Implementación de HIDSs+. Caín y Abel donde conseguimos el archivo SAM de Windows de manera interna. Decepción o engaño: Ataque contra las personas. ingresar a áreas del sistema. el skill del atacante y el nivel inicial de acceso con el que el mismo cuenta. o incluso. entre las que se encuentran:  Explotación de vulnerabilidades: si existe algún producto instalado que permita la ejecución de código arbitrario. Servicios mal configurados: Un servicio que no esté adecuadamente configurado puede permitir que intrusos hagan uso abusivo del mismo. nobody). Root). a menudo referida como fase de penetración. los atacantes a menudo utilizan diferentes técnicas. que ejecuten código arbitrario. la cual a menudo es aprovechada por la utilización de código exploit. ésta es una puerta abierta al acceso de intrusos. Entre los factores que suelen influir en la concreción de un ataque se encuentran: la arquitectura y configuración del sistema objetivo. En esta situación el atacante intentará acceder al objetivo.

etc. IPSs. se refiere al paso en el cual el atacante intentará afianzar su posición respecto de la apropiación y/o retención del sistema atacado. con las implicancias legales que ello significa. Bajo el término “Borrado u Ocultamiento de Huellas” o “Covering tracks”. son los ataques de Denegación de Servicio Distribuida. cambiar tamaño de archivos. Esta situación puede generar que nuestro sistema termine siendo víctima. manipulación de datos. para realizar actividades como inyecciones de código. A fin . con el fin de ocultar cada una de las acciones llevadas a cabo tanto al momento de ganar acceso al sistema objetivo. ESCALAR PRIVILEGIOS A NIVEL DE USUARIOS Ya deberíamos tener un usuario valido y tener permisos mínimos y si tenemos permisos mínimos debemos comenzar a escalar privilegios para volvernos administradores del sistema. herramientas destinadas a operar de algún modo o a asegurar su entrada en accesos posteriores. en general un atacante busca los archivos de auditoria o log del sistema. para borrarlos o modificarlos ocultando su acceso y sus actividades. Si no son tomadas las medidas necesarias. las contramedidas son el filtrado de paquetes. NIDSs. es decir limpiar pistas para que no seamos capturados Una vez que un atacante ha logrado ingresar a un sistema generalmente realiza actividades para evitar ser detectado. y el control periódico de los archivos de log. Contramedidas Nuevamente. sino que por el contrario. que se desarrollarán más adelante. RootKits y/o troyanos. así como también respecto de su permanencia. solemos referirnos a la fase en la cual el atacante lleva a cabo una serie de pasos. etc CUBRIR HUELLAS Cambiando o desactivando logs del sistema. a partir de los cuales sea capaz de interactuar con el sistema atacado (Upload. Llegado este punto. Para evitar ser detectado. necesarios para atacar con éxito el objetivo final. los sistemas HIDSs. eliminar rastros de programas utilizados en el ataque. Cuando el intruso instala en el sistema atacado. este puede ser el primero de una serie de saltos intermedios. podríamos eventualmente vernos envueltos en un ataque. RED LOCAL. sin ser rastreados. Un ejemplo claro respecto de lo mencionado. asegurar su acceso reiterado y extender la influencia a sistemas circundantes o en relación de confianza con el sistema inicialmente comprometido.).8 MATENIENDO EL ACCESO La fase identificada genéricamente como “Mantenimiento de Acceso”. PONER BACKDOORS Los tipos de Ethical Hacking que se pueden desarrollar aplicando técnicas de penetración pueden ser RED REMOTA. MARCACION A RED REMOTA con phreacking Otra forma es realizar un análisis de acceso físico a la compañía para evitar que se roben hardware Usar técnicas de Ingeniería Social para acceder a la empresa Es importante tener presente que con frecuencia. el objetivo final de un ataque puede no ser el primer sistema atacado. e intentará fijar la posición instalando backdoors. el atacante ha logrado su objetivo de acceso al comprometer la seguridad del sistema al cual ha accedido. malware. corre el riesgo que las mismas sean detectadas por un administrador y se conviertan en prueba suficiente a la hora de demostrar que un ingreso no autorizado ha sido llevado a cabo. Download. y a la vez se convierta en atacante.

Este directorio muchas veces no es tenido en cuenta por los administradores. Contramedidas Una vez que el atacante ha logrado vulnerar la seguridad de nuestro sistema y ha sido capaz de acceder el host objetivo. Esta herramienta no modifica el archivo original. y quedar oculto a los ojos de los administradores. un atacante podría ser capaz de utilizar técnicas mucho más avanzadas a la hora de ocultar su acceso. con lo que no se detectarán cambios. En Windows NT/2000 esto se puede realizar ocultando los directorios (muy sencillo de detectar). . En Linux. se pueden utilizar directorios dentro de /dev/. No obstante se debe notar que la implementación de sistemas centralizados de logging. se puede concatenar un archivo detrás de otro mediante la herramienta cp. o mediante las facilidades provistas por NTFS. procesos adecuados de hardening y sistemas de integridad de archivos. por lo que puede convertirse en un buen lugar para ocultar herramientas. Al margen de estas técnicas.exe del NT Resource Kit. tal como la programación de componentes a nivel del kernel del sistema operativo. deberían ser considerados siempre que sea posible a fin de detectar un ataque. minimizar el impacto del mismo o al menos colaborar a su eventual investigación.9 de evitar tal situación. donde existen links hacia los diferentes dispositivos. lo mejor es considerar la posibilidad de instalar nuevamente el sistema a partir de las copias de oro del software de base. el atacante suele dejar sus herramientas en directorios ocultos o de difícil acceso. los aplicativos que sobre él se encuentran corriendo y los datos almacenados como parte de nuestra política de resguardo.

. los ataques de intercepción pueden resultar complejos de detectar. como parte de una misión de inteligencia en la cual deben ser monitoreadas las conversaciones del enemigo. El objetivo último de un ataque de interceptación. no obstante por lo general es posible situar cada uno de ellos en alguna de las categorías que estudiaremos a continuación: · Interceptación · Modificación · Interrupción · Falsificación INTERCEPCION Al inicio de la unidad. La interceptación atenta contra la privacidad o confidencialidad de la información. un sistema de cómputo entre el emisor y el receptor de algún tipo de mensaje o información. se encuentran por ejemplo. Por su parte el situar por ejemplo. pueden ser activos o pasivos.10 EFECTOS DE UN ATAQUE Tal como tendremos oportunidad de ver más adelante en esta misma unidad. En un entorno de red. especialmente si los mismos son de origen pasivo. a aquellos en donde un atacante busca acceder a sus recursos. Los ataques de interceptación. A lo largo de los siguientes indicadores. Integridad y Disponibilidad pueden verse afectados. podría considerarse interceptación activa. es el de ganar acceso a información para la cual el atacante no se encuentra autorizado. varios son los ataques en capacidad de afectar o dañar de algún modo nuestros sistemas. se revisaran los diferentes aspectos de alguno de los ataques de intercepción más comunes tales como: · Sniffing · Eavesdropping. Cuando en los siguientes indicadores nos refiramos en líneas generales a los efectos de un ataque. no debemos perder de vista el modo en el que los principios fundamentales de la seguridad de la información: Confidencialidad. obtiene acceso a información para la cual no posee acceso formal. puede variar en función de diversos factores. La forma en la que un ataque puede afectar efectivamente un sistema de información. Los ataques de Interceptación. La “Interceptación” a menudo suele ser el ejemplo más concreto de un “Ataque de Acceso”. la interceptación pasiva podría por ejemplo encontrarse relacionada con una persona quien rutinariamente monitorea el tráfico de red. dentro de la práctica habitual de las agencias de gobierno o el ámbito militar. y a menudo suele producirse cuando un usuario NO autorizado. definimos como “Ataque de Acceso”. Debido a su naturaleza.

Los daños ocasionados por la eventual suspensión del servicio y el tiempo de recuperación relacionado con este tipo de ataques. Para un atacante. extremadamente habitual hoy día. es que a menudo los mismos suelen ser de sencilla detección. a menudo pueden llegar a ser muy importantes. las mismas podrían verse como modificaciones lícitas. El objetivo último de todo ataque de modificación es realizar cambios sobre el entorno. con el nivel de privilegios necesarios para alterar de algún modo los datos o información que en él se encuentran para su beneficio. representan ejemplos claros de este tipo de ataques. son los defacements o desfiguración de sitios web. la motivación de los atacantes respecto de este tipo de ataques. entre otros.11 MODIFICACION En un ataque por modificación. inserción o alteración de información. Un tipo de ataque de modificación. De acuerdo a su definición. etc. dañar o dejar sin funcionamiento un sistema completo o parte de éste. Modificar el flujo de datos en una comunicación o editar el contenido de un archivo en un servidor. un usuario malicioso generalmente obtiene acceso no autorizado a un sistema o recurso. Por tal motivo. debido principalmente a que por lo general su existencia es rápidamente notada por los usuarios lícitos. si bien en principio la detección podría ser considerada más sencilla que en la interceptación. En líneas generales. los siguientes ataques de interrupción y sus contramedidas:   Denegación de servicio Denegación de servicio distribuida . cambio de notas en una clase. En las siguientes secciones se analizarán. una venganza o la forma de facilitarle el acceso a algún otro recurso. Un aspecto característico de los ataques de Interrupción. la detección de dichas alteraciones requiere un estudio exhaustivo por parte de un analista de seguridad. de modo tal que la misma se vea como genuina para el usuario. En las siguientes secciones se analizarán. los ataques de modificación envuelven la eliminación. alteración fraudulenta de registros de tarjetas de crédito. debido a que llevadas a cabo por un atacante cauteloso. los siguientes ataques de modificación y sus contramedidas   Man-in-the-middle Manipulación de datos (Tampering) INTERRUPCION La interrupción consiste en afectar. puede ser un desafío. deben ser tomados la mayor cantidad de recaudos posibles para evitar sufrir un ataque de este tipo. debido a que existe información que se modifica o altera de algún modo. En estos casos. entre otros. suele encontrase relacionada con el “plantar” información.

switches. a fin de que este ejecute alguna acción que pueda ser aprovechada por el atacante. quien altera su identidad simulando ser un host determinado con el fin de obtener algún beneficio propio. sino que por el contrario intentara irrumpir o apagar un servicio. presuponen precisamente. el funcionamiento de un servicio ofrecido por algún sistema o dispositivo de red. La falsificación. sino que en cambio buscan provocar la degradación del servicio que el mismo se encuentra preparado para prestar. presentan habitualmente la característica de no involucrar un acceso no autorizado al sistema. En este tipo de ataques. con el objeto de hacer creer a un sistema o dispositivo de la veracidad de los mismos. Los ataques conocidos como activos. o contra la infraestructura de toda una red. . los “Ataques Activos” suelen ser definidos como aquellos en los cuales el atacante intenta causar daño o afectar de algún modo determinado. Existen diferentes técnicas de detectar los intentos de falsificación y se revisarán posteriormente. los ataques de Falsificación. entre otros. Este tipo de ataques. que alguno de los componentes de un sistema ha sido falsificado. a una red o sistema mediante algún tipo de participación activa. hosts específicos. tienden por lo general a ser muy evidentes o visibles. Un ejemplo muy común es un usuario malicioso. ya sea disminuyendo su capacidad operativa o anulándolo de modo permanentemente. pero también pueden ser ejecutados contra aplicaciones web. el atacante no se limita tan solo a escuchar sobre el alambre. o simplemente a escenarios donde una persona participe de una conversación simulando ser otro interlocutor.12 FALSIFICACION En líneas generales.Denegación de Servicio) apuntan exclusivamente a afectar en forma negativa. Entre los ataques activos más conocidos se cuentan: · DoS (Denial of Service) / DDoS (Distributed Denial of Service) · Buffer Overflows · SYN Attacks · IP spoofing A continuación revisaremos algunos de los principales aspectos relacionados con cada uno de estos ataques y sus contramedidas. routers. los siguientes ataques de falsificación y sus contramedidas:  Spoofing ATAQUES ACTIVOS En líneas generales. puede aplicarse tanto a escenarios donde se hayan construido determinados paquetes de datos arbitrariamente. debido a que el daño que causan a menudo es notorio. Estos ataques generalmente son apuntados hacia un servidor o grupo de servidores específico. ATAQUE DoS Los ataques de DoS (Denial of Service . En las siguientes secciones se analizarán.

produciendo así un datagrama ICMP muy grande que ocasionará su caída. En tal sentido. Si se realiza una cantidad suficiente de peticiones de conexión. básicamente se le envía un paquete ICMP de ping a un host esperando su respuesta. Técnicas Es importante conocer. por lo general no presuponen en forma directa un riesgo de pérdida de información o divulgación de información confidencial. o simplemente aburrimiento o búsqueda de desafíos. puede ser complicado. ocasionando que el servidor permanezca a la escucha un determinado tiempo. pueden actuar como una herramienta efectiva a la hora de ocultar otras actividades intrusivas que podrían estar siendo realizadas simultáneamente. · Por mensajes de control: Se envían paquetes con mensajes de control para que los dispositivos interrumpan la operación de la red . aunque por lo general suelen ser como mínimo vergonzantes y eventualmente capaces de afectar un comercio hasta cerrarlo. eBay. El Cliente envía un paquete SYN pero no responde al paquete ACK del 2º paso del saludo de tres vías TCP. Las empresas que comercian a través de Internet (Amazon. deseoso de convertirse en el nuevo destinatario del dinero de un cliente. afectar sus negocios. el caos generado por este tipo de issues. reservando recursos para la nueva conexión. se esté produciendo el verdadero intento de intrusión hacia otro objetivo. Entre las más comunes se encuentran: · Por explotación de errores de aplicaciones: Se envían paquetes malformados que generan una caída de la aplicación . Para cada petición de conexión. se tome conocimiento en forma inmediata (una vez que la denegación es exitosa) y los administradores deban abocarse a la reparación del incidente. que en líneas generales los ataques de DoS pueden generarse de diferentes maneras.) suelen situarse entre las más vulnerables a este tipo de ataques. El medir las implicancias de un ataque de denegación de servicio. A pesar que los ataques de Denegación de Servicio. En este ataque. pueden entre otras. Si un sitio de ventas on-line se encuentra inaccesible. Algunos de los ataques más conocidos son:  Ping de la muerte: La utilidad ping sirve principalmente para saber si un host está activo y además podemos determinar el delay existente hasta ese host. situación que sin dudas puede ser aprovechada por los atacantes para perpetrar el ataque contra el objetivo real. encontrarse relacionadas con la venganza. Lamentablemente. · Por inundación (flooding): Consumen los recursos con una gran cantidad de paquetes . podría eventualmente existir la posibilidad que mientras se realiza el ataque de DoS contra un objetivo.13 Las motivaciones que llevan a que un atacante realice una DoS. seguro habrá un sitio alternativo a un par de clicks de distancia. Este ataque consiste en enviar masivamente peticiones de conexiones TCP (con el código SYN activado) . es habitual que en empresas carentes de procedimientos adecuados frente a tales circunstancias. etc. Es común que cuando se realiza una Denegación de Servicio. el receptor debe reservar una porción de memoria. Se basa en un "saludo" incompleto entre el host atacante y el objetivo del ataque. Un ejemplo de este tipo de ataques es el SYN Flood. éste puede llegar desordenado por lo que el host pide al origen que le vuelva a enviar una parte o la totalidad del paquete. La diferencia está en que si se le envía un paquete muy grande. provoque una relajación de las medidas de seguridad hasta que los ingenieros logren poner en funcionamiento nuevamente el servicio afectado por el ataque de DoS. hasta  . el receptor consumirá toda su memoria y no podrá responder a nuevas peticiones. la envidia. Syn flood: El Syn Flood es uno de los más famosos de los ataques tipo Denial of Service (DoS). la intención de desacreditar una compañía u organización.

Al final la máquina termina por colapsarse. haciendo que el sistema se cuelgue. En este caso. un atacante puede enviarles paquetes manipulados a sistemas Windows con el fin de adulterar los números de fragmentos de los paquetes. para defendernos de los ataques de DoS por inundación.14 cancelar la llamada. es imperioso mantener los sistemas libres de vulnerabilidades mediante las últimas actualizaciones. El Windows NT 4. Al margen de lo hasta aquí mencionado. por lo general suele ser importante el implementar un conjunto de medidas generales entre las que se cuentan el restringir la cantidad de conexiones simultáneas que atenderá un servidor y la habilitación de las features de seguridad correspondientes en los dispositivos de networking. Aquí el atacante envía a algún puerto abierto de un servidor (generalmente al 113 o al 139) un paquete. Este tipo de hosts. Para defendernos de los ataques de DoS por explotación de vulnerabilidades. generalmente. Esta señal. existen dispositivos llamados IDS (Intrusion Detection Systems) los cuales suelen ser de gran ayuda. Si se envían muchos saludos incompletos. Básicamente. buscando patrones de ataques. el atacante se suele aprovechar de los hosts de usuarios hogareños que están conectados en forma permanente (como los que utiliza conexiones DSL o por cable). A diferencia del DoS en este caso no enfrentamos a múltiples atacantes y desde cada uno de estos se intenta inundar a la víctima. no están lo suficientemente protegidos. Por último y tal como mencionáramos en párrafos anteriores. al menos que la organización cuente con algún tipo de sistema IDS/IPS efectivo. Land attack: Este ataque consiste en un error en la implementación de la pila TCP/IP en sistemas Windows. donde se intenta consumir todos los recursos de una víctima hasta agotar su capacidad de procesamiento o llegar a un desborde. son ataques difíciles de detectar hasta el momento mismo en que estos comienzan su actividad destructiva. al momento de detectar un ataque de este tipo en proceso. El programa de ataque permanece latente en las computadoras hasta que reciben una señal del usuario malicioso (no necesariamente el mismo que haya instalado el software de ataque en los hosts). ninguna acción declarada como prohibida.0 es especialmente vulnerable a este ataque. una variación de los ataques simples de DoS que utiliza múltiples computadoras para atacar a una sola entidad. Aunque existen parches que pueden aplicarse para solucionar el problema. maliciosamente construido con la IP y puerto origen igual que la IP y puerto destino. ocasionando así una avalancha mucho mayor de paquetes sobre el destino del ataque.   Contramedidas Debido a que en general estos ataques no realizan a priori. En los ataques por DDoS. necesitaremos crear los filtros de paquetes apropiados. le indica a todos . Algunas implementaciones de colas IP no vuelven a recomponer correctamente los fragmentos ya que se superponen. ATAQUE DDoS Un tipo de ataque de DoS más reciente es la Denegación de Servicio Distribuida (DDoS). Teardrop: Los ataques Teardrop I y Teardrop II afectan a fragmentos de paquetes. Básicamente el DDoS es un ataque similar al DoS. Para defendernos de los ataques de DoS por mensajes de control. o denegada. como lo hemos visto anteriormente. entonces un usuario malicioso podría cargar en docenas o miles de estos hosts un software de ataque. estos dispositivos analizan el flujo de datos. se consigue que el servidor se paralice o por lo menos se ralentice.

la mayoría de los desarrolladores han implementado técnicas de actualización periódicas con el fin de minimizar los efectos de estos ataques. Un aspecto importante en relación a este tipo de ataques. Afortunadamente. Un ejemplo de este tipo de ataques es el SYN Flood (ya visto en el ataque por DoS). Esta trama lleva como dirección de origen la dirección IP de la víctima. utilizar técnicas de inundación. Con el ataque distribuido en un gran número de hosts. los ataques por DDoS suelen en su mayoría. Un ataque muy común de DDoS es el ataque smurf. el receptor consumirá toda su memoria y no podrá responder a nuevas peticiones. La mayoría de los sistemas son susceptibles entonces a sufrir este tipo de ataques. En este ataque. Otro ataque por DDoS muy conocido es el TFN (Tribe Flood Network). Contramedidas Evitar un ataque de inundación no resulta muy sencillo. o la capacidad máxima que puede consumir en el host. continuamente son descubiertos nuevos bugs (fallas de seguridad) en los servicios o el mismo sistema operativo. un usuario malicioso obtiene acceso privilegiado a múltiples hosts e instala un software que realice Syn Flood (visto anteriormente) sobre un destino en particular al momento de recibir la orden del atacante. Este sistema de ataque se basa en transmitir a la red una trama ICMP correspondiente a una petición de ping. contesten a la víctima todos aquellos sistemas que tienen habilitado el poder contestar a paquetes destinados a la dirección broadcast de la red. el receptor debe reservar una porción de memoria. Otro punto a tener en cuenta para no sufrir ataques de inundación. Si se realiza una cantidad suficiente de peticiones de conexión. radica en el hecho de que si el atacante tiene un ancho de banda para el acceso a la red. Así. limitar la velocidad de ICMP y TCP Syn) . y como dirección de destino la dirección broadcast de la red atacada. Además. Un analista de seguridad debe mantener actualizados todos sus sistemas con las últimas mejoras de seguridad para cada sistema. el programa instalado generalmente se elimina del sistema o infecta al usuario con algún virus que destruya la evidencia y elimine su rastro. Al momento de comenzar el ataque no se le realiza ningún aviso previo al usuario y cuando se completa el ataque. . contando tan solo con su propia potencia de cómputo o ancho de banda.y se pueden ver los sitios web para las descargas de las últimas actualizaciones de Microsoft. el atacante envía la instrucción a los hosts zombies y éstos realizan un SYN Flood sobre la víctima. pero no todos lo hacen. menor al de la víctima. En las figuras . Algunos servicios en los sistemas operativos permiten definir el número máximo de conexiones. resultaría muy complicado poder "inundarlo" hasta saturarlo. Este ataque consiste en enviar masivamente peticiones de conexiones TCP (con el código SYN activado) . De esta forma se consigue que por cada trama que se transmite a la red. es configurar los routers de borde para que ajusten la velocidad de arribo de determinados tipos de paquetes (por ejemplos. el atacante logra generar el tráfico suficiente para ahogar victimas a las que de otro modo no podría atacar.15 los hosts (comúnmente llamados zombis) en forma simultánea que deben comenzar el ataque hacia un destino determinado. ocasionando que quede fuera de servicio. Para cada petición de conexión. RedHat Linux y Cisco. A diferencia de los ataques por DoS.

16 ATAQUE BUFFER OVERFLOW Más allá de sus buenas intenciones. Este tipo de ataque puede ocasionar negaciones de servicio o habilitar que determinado código no autorizado se ejecute en modo privilegiado. se produce cuando un programa. estos errores pueden terminar en debilidades o vulnerabilidades. la existencia de condiciones de desbordamiento de buffer. o eventualmente instrucciones que dispuestas del modo indicado. Un buffer no es otra cosa que un área temporal de memoria. C# etc. este tipo de bugs aún suelen ser encontrados con frecuencia. históricamente representan el tipo de bug más popular de todos los tiempos.) incluyen características que imposibilitarían a priori y en condiciones normales. el correcto chequeo respecto del largo del input dispuesto por el usuario en las aplicaciones y la adopción cuando sea posible de lenguajes tales como Java. de modo tal de sobrescribir lo que allí se encuentre. relacionado con la codificación de software. al igual que el resto de los seres humanos. producto de su codificación. se encuentra relacionada con la prevención. que aprovechadas por un atacante podrían terminar por comprometer un sistema por completo. deberían contribuir notablemente a la reducción de este tipo de issues . Adicionalmente. la utilización de flags especiales en algunos de los compiladores mas comunes respecto de la prevención de aspectos de corrupción de memoria. Contramedidas La principal contramedida contra Buffer Overflows. Un Buffer Overflow. utilizada por un programa para almacenar datos o instrucciones.. En muchos casos. el atacante podría ingresar más datos de los esperados. radica en el hecho que aún hoy en día. A fin de crear un ataque de buffer overflow. Si una aplicación no verifica la cantidad de información que está siendo ingresada. C#. Aspectos tales como la utilización de prácticas de programación segura. Un aspecto importante. podrían desviar el flujo del programa a un punto en el cual el atacante sea capaz de. los desarrolladores de software pueden cometer errores. Al nivel más básico. o lo hace incorrectamente. ejecutar cualquier acción sobre el equipo atacado. donde los lenguajes de desarrollo más modernos (Java. Estos datos extra pueden ser tan solo caracteres sin sentido que podrían hacer que el programa falle. etc. el reemplazo de funciones inseguras tales como por ejemplo strcpy y strcat por strncpy y strncat respectivamente. es poco estricto en la gestión de su espacio de memoria o no comprueba adecuadamente la longitud de las entradas recibidas como parte de su operación. podemos mencionar que errores de BoF (Buffer Overflow). de modo tal que estos terminen sobrescribiendo otros segmentos de memoria. al controlar el mismo. el atacante simplemente debe escribir más datos de los que caben en el área de memoria asignada por el programa para una operación determinada.

o dicho de otro modo resolver con una dirección IP falsa un nombre DNS determinado o a la inversa. su usuario y contraseña y una vez hecho esto probablemente reciba un mensaje de contraseña incorrecta. suele ser necesario engañar a una de las partes intervinientes (algo o alguien). MAIL SPOOFING: Suplantación de la dirección e-mail de otras personas o entidades. pero esta ultima sobre el programa real. la información de usuario y contraseña que ingresada por el usuario en el programa suplantado. Esta en algún momento ingresara en este programa falso el cual simula ser real. para que un ataque de spoofing sea exitoso.17 ATAQUE SPOOFING En el ámbito de Seguridad de la Información. suele utilizarse el término “Spoofing” para definir en forma genérica todo aquel tipo de ataques en el cual son utilizadas técnicas de suplantación de identidad. el spoofing suele ser utilizado básicamente para proveer información falsa acerca de su identidad. Un punto importante radica en el hecho de que en líneas generales y más allá de cual fuera su implementación técnica. El spoofing a menudo suele ser considerado un ataque de acceso. Como resultado de esta acción. esta vez por ejemplo. asegurando que cada uno de los extremos de dicha comunicación es quien dice ser. Se trata de falsear la relación "Nombre de dominio-IP" ante una consulta de resolución de nombre. un atacante desarrolla un programa de logon (fake logon) que se ve exactamente igual que el original y lo ejecuta en el equipo de la víctima. una de las principales contramedidas relacionadas con la suplantación. de modo tal que esta crea que su interlocutor (aquel cuya identidad se intenta suplantar) es de hecho legitimo. Dicha técnica suele ser utilizada con frecuencia en el envío de hoax y spam. como así también como suplemento perfecto para el uso de phising. el cual haga uso de una entidad certificante. ahora servirá al atacante para suplantar la identidad del usuario lícito. o tan solo para pretender ser algo que no es. a fin de falsear la tabla ARP de una víctima y forzarla a que envíe los paquetes a un host atacante en lugar de hacerlo a su destino legítimo. el usuario finalmente habrá ingresado sin mayores complicaciones a su red. contra la red corporativa. Ejemplos de tales tecnologías podría ser algún tipo de esquema de autenticación. con el fin de ganar acceso no autorizado a un sistema. mientras que el atacante probablemente haya registrado en algún archivo oculto. DNS SPOOFING: Suplantación por nombre de dominio. Se encuentra relacionado con la construcción de tramas de solicitud y respuesta ARP modificadas. ARP SPOOFING: Suplantación por falsificación de tabla ARP. Contramedidas A nivel general. Consiste básicamente en sustituir la dirección IP origen de un paquete TCP/IP por otra dirección IP a la cual se desea suplantar. El usuario volverá a intentar su acceso una vez más. En este escenario. . sin dudas sea aquel relacionado con falsos programas de logon. Desde el punto de vista del atacante. radica en la utilización de algún método confiable a la hora de autenticar los extremos de una comunicación. Entre las implementaciones técnicas de spoofing mas comunes se encuentran: IP SPOOFING: Suplantación de IP. Uno de los ataques de spoofing o suplantación más conocidos.

suele ser un problema a menudo relacionado con aplicaciones basadas en TCP/IP tal como una sesión Telnet o una aplicación de comercio electrónico basada en la web. robar una sesión para obtener acceso a recursos. para “lógicamente” desconectar este de dicha red. Con cada host que tome está configuración. ya que generalmente concentra el tráfico de muchos accesos remotos en un sólo enlace. Para un ISP (Internet Service Provider) el entorno es muy favorable para la implementación de este ataque. se puede robar información. A fin de llevar adelante el Hijack (secuestro) de una conexión TCP/IP. Una forma sencilla de ver este ataque. la sesión puede ser "repetida" por el atacante utilizando la misma información que pudo obtener anteriormente . es por medio de un ejemplo conceptual el cual incluya un atacante el cual logra acceso a un host de la red. Contramedidas Para evitar los ataques de man-in-the-middle resulta fundamental poder asegurar que los extremos de una comunicación son quienes dicen ser. un atacante registra (monitorea y captura) todo los paquetes y comandos que un usuario utilice en una sesión entre un cliente y un servidor. para luego insertarse en esta sesión. el atacante recibirá todos los paquetes destinados a otras redes. Si esto pudiera ser realizado con la suficiente rapidez. Contramedidas Para evitar la repetición de sesión se debe utilizar algún protocolo que no permita la interpretación de paquetes duplicados. el atacante inserta otra máquina con la misma dirección IP y continua el dialogo con el interlocutor del sistema desconectado ocupando su lugar. Un ejemplo podría ser algún usuario malicioso que hubiera realizado un ataque de DHCP starvation (visto anteriormente) y configure a los hosts de la red indicando su propia dirección IP como puerta de enlace. ATAQUE REPLAY En un ataque de repetición de sesión. se interponga en una "conversación" y actúe como intermediario entre el emisor y el receptor de los paquetes. denegación de servicios (DoS) o corrupción de los datos transmitidos. En la figura se puede ver otro ejemplo. También se puede utilizar una entidad certificante que asegure la identidad de los extremos con el fin de rechazar cualquier intento de conexión por un host que no es quien dice ser. el atacante podrá reenviarlo posteriormente modificando la información que contiene o simplemente obteniendo la información de los datos que envía . realizar un análisis de tráfico para obtener información sobre redes y usuarios. Con estos ataques. Acto seguido. Esto se puede lograr utilizando autenticación mediante una entidad certificante.18 ATAQUE MITM Un ataque man-in-the-middle requiere que el atacante tenga acceso a los paquetes que atraviesan la red. el atacante podría ganar acceso a la . Session Hijacking o active sniffing como suele conocerse. el atacante debe primero ser capaz de interceptar los datos de un usuario legítimo. ATAQUE TCP/HIJACKING Un ataque del tipo TCP Hijacking. Así.

no es para nada novedoso dentro del ambiente de la seguridad de la información. Por el contrario. “Escape” las comillas simples. pueden en ciertos casos ser llevados a cabo con relativa facilidad. Este tipo de ataques. Solo permita el acceso de “Good Input” 4. es una de las herramientas que implementan monitoreo y secuestro de sesión. es la principal contramedida cuando de prevenir la inyección de código se trata. a un bug o falla en el motor de base de datos. 5. Contramedidas Puesto que SQL Injection es un ataque que se aprovecha de malas prácticas de programación. A pesar de lo que suele creerse. los ataques de SQL Injection no se deben de modo primario. a partir de la inyección de código SQL dentro de una aplicación. en el peor de los casos. 2. Rechace lo que conoce como “Bad Input”. siendo que el Server podría no notar lo ocurrido y responder como si se tratara de un cliente confiable. Contramedidas Una de las principales contramedidas a la hora de prevenir secuestros de sesión en conexiones TCP/IP. SQL Injection no se trata de la vulnerabilidad de alguna base de datos en particular. Hunt por ejemplo. es una técnica que los atacantes suelen utilizar para ejecutar consultas SQL arbitrarias sobre una aplicación conectada a una base de datos. tanto en Oracle como en MS-SQL como así también en MySQL. este tipo de ataques en particular tiene connotaciones diferentes desde el punto de vista del nivel de penetración que se puede lograr muchas veces con solo disponer de un navegador de Internet y algunos conocimientos básicos respecto de la forma en la que se construyen sentencias lógicas en lenguaje SQL. La utilización de protocolos tales como IPSec o Kerberos. aunque en cada caso. es posible la utilización de técnicas de SQL Injection. se han vuelto muy populares en los últimos años. posiblemente difieran de una base a otra. permiten entre otras funciones servir como contramedida para la ejecución de ataques de secuestro de sesión. modificar el comportamiento de nuestras aplicaciones. Si bien es cierto que este tipo de ataques suelen ser algo sofisticados. No obstante. pero no confíe en ellos en un ciento por ciento. los metacaracteres utilizados a tal efecto y su interpretación. Realice auditorias de código en forma periódica . La implementación de un estricto control de entrada de datos. estos se deben a errores de programación. la verdad es que con la aparición de diferentes herramientas en condición de automatizar los mismos. sino que por el contrario su explotación se encuentra relacionada con el aprovechamiento de malas prácticas de programación. Este tipo de errores puede permitir a usuarios malintencionados acceder a datos a los que de otro modo no tendrían acceso y. la cual funciona excepcionalmente bien con sesiones Telnet y FTP. Siempre que sea posible. Si bien el recurso de explotar validaciones de entradas pobremente construidas. la principal contramedida es preventiva y se encuentra relacionada con la codificación segura de aplicaciones. consiste básicamente en la modificación del comportamiento de las consultas propias de cada aplicación. a continuación se mencionan algunas máximas: 1. puede hacer que estos también sean susceptibles a SQL Injection.19 sesión que involucraba al sistema desconectado y su interlocutor. mediante la introducción de parámetros no deseados en los campos a los que tiene acceso el usuario. utilice stored procedures. En términos simples. Puesto que como hemos mencionado anteriormente. Su mala utilización. 3. generalmente en rutinas de validación. esencialmente relacionados con la ausencia de controles estrictos de validación de entradas en las aplicaciones que se comunican con bases de datos. radica en la utilización de sesiones encriptadas y de métodos de autenticación fuertes. ATAQUE SQL INJECTION Los ataques de SQL Injection.

ActiveX. podemos destacar que XSS es un tipo de vulnerabilidad del tipo “Client Side” (Del lado del cliente) que a diferencia de muchas otras. el cual puede estar presente en el sitio web del atacante.20 ATAQUE XSS Conocido como “XSS” a fin de evitar confundir este tipo de vulnerabilidades con “Cascading Style Sheets (CSS)”. En líneas generales. XSS es una vulnerabilidad que radica en la pobre validación de entrada que los desarrolladores codifican en sus aplicaciones. como por ejemplo interceptar entradas del usuario víctima o leer sus cookies. pero también puede extenderse a VBScript. sino un atacante. se basan en técnicas por medio de las cuales se fuerza a un sitio web a repetir el código ejecutable suministrado por un atacante. “Cross Site Scripting” es sin dudas hoy en día. el ataque más común a nivel de aplicación. un término común para referirse a las “Hojas de Estilo en Cascada” las cuales constituyen un mecanismo para asociar estilos de composición a documentos estructurados del tipo HTML o XML. Java. pudiendo realizar en el ordenador del usuario. Por lo general. el ingreso del script malicioso no lo genera el usuario que ve la página. resultando en caso de que este input contenga un script. Flash. o cualquier otra tecnología soportada por el navegador. Algunos ejemplos en donde con frecuencia suelen existir condiciones de XSS se cuentan: § Weblogs § Web bulletin boards § Chat rooms § Libros de Visita § Clientes de Web Mail § Motores de búsqueda § Formularios de Confirmación en diferentes aplicaciones. Como característica principal. sin realizar las validaciones correspondientes sobre dicha entrada. etc. El código normalmente está escrito en HTML o JavaScript. el cual consigue de algún modo que el script se ejecute en el navegador del usuario. es importante mencionar que en ataques reales. no afecta tanto a los servidores que contienen la aplicación vulnerable. sino que por el contrario a menudo los principales damnificados son los usuarios que navegan dichas aplicaciones a través de Internet. . todas y cada una de las acciones que le sean permitidas a ese sitio web. en un mensaje de correo electrónico o de un grupo de noticias. Los ataques en condición de aprovechar este tipo de vulnerabilidades. el cual se carga en el navegador del usuario. Por último. los tipos de recursos más susceptibles a contener vulnerabilidades explotables de XSS. § Cualquier aplicación que refleje el input del usuario sin validar su contenido. La víctima ejecuta el código de manera indirecta cuando confiadamente hace clic sobre un enlace fraudulento. en relación al input llevado a cabo por el usuario. generalmente a través de formularios o de las propias URLs. son aquellos que toman el ingreso del usuario y lo publican o reproducen en forma dinámica. que el mismo se ejecute en el navegador del usuario dentro del contexto de seguridad de la página web visitada.

Lo mismo. Al nivel más básico. la cual puede entre otras cosas. En cuanto al uso de campos ocultos. Las vulnerabilidades de parameter tampering. en aquellos casos donde los campos del formulario enviado al usuario. El usuario sigue un enlace. Cuando un cliente realiza una petición HTTP por medio de los métodos GET o POST. El principal problema detrás del tampering en aplicativos web. Entre los ejemplos más básicos de “Parameter Tampering”. 3. un usuario malicioso podría eventualmente interponer una aplicación que actúe de proxy http tal como “Paros” entre su browser y el servidor web.21 En resumen. las cuales implementen y refuercen el concepto de validación de entradas de modo efectivo. que él decida asignar valores diferentes a los asignados inicialmente por el desarrollador de la aplicación. se utilizaran campos ocultos en los formularios. Una acción de este tipo. el ejemplo más típico es el de la utilización de los mismos al publicar el valor de determinados artículos en un portal de ventas on-line. radica en el hecho de que muchos desarrolladores confían en la utilización de campos ocultos o fijos. el proceso de alteración de los datos por parte del usuario es sumamente sencillo. del lado del cliente. podría ocurrir. etc. pero accesible al interceptar el tráfico pues viaja como valor oculto del formulario) y finalmente enviar al servidor el formulario con los valores de precio del producto (del campo supuestamente oculto) modificado. permitiría que un atacante decida el precio a pagar por cualquiera de los artículos dispuestos en la página web del portal de ventas on-line. el cual relacionado inicialmente con aplicaciones web. los valores de dichos campos podrían ser manipulados por el usuario. Hoy en día algunos lenguajes han comenzado a implementar opciones especiales a fin de verificar el input antes de que este sea publicado en nuestro html. para llevar adelante operaciones críticas. 2. radio buttons. editar el valor existente en el campo oculto (no visualizado a través del navegador. Este código se ejecuta en el navegador de la víctima. no es otro que el de codificar aplicaciones en forma segura. suelen a menudo ser reconocidos como ataques a la lógica de la aplicación y se originan una vez más… en malas prácticas de programación y una pobre validación de entradas. para entonces capturar el tráfico. Contramedidas El objetivo principal al intentar proteger una aplicación contra problemas de XSS. generalmente enviados por el servidor. se encuentra el cambio del lado del cliente de los parámetros en los campos de un formulario o la propia modificación de atributos en una URL determinada. .. ATAQUE PARAMETER URL FORM TAMPERING conoce a un tipo de ataque. que incluye codificada una cadena de entrada como argumento de entrada a algún parámetro de la página del sitio web. de este modo se obtiene un segundo control. permitiendo por ejemplo. el servidor procesa el requerimiento y como resultado envía la página HTML que corresponda. con el objeto de manipular de uno u otro modo el resultado lógico de la aplicación. checkbox. El sitio web no valida (o lo hace pobremente) la entrada anterior y genera dinámicamente una página HTML que incluye el código introducido en el enlace por el atacante. consiguiendo en definitiva realizar una petición HTTP con datos por él alterados. Si para fijar el precio de los mismos. resultaran ser valores “preseleccionados” tal como en el caso de listas desplegables. un ataque de Cross Site Scripting funciona de la siguiente forma: 1. con los mismos privilegios que cualquier otro código legítimo del mismo sitio web. son de hecho efectivamente enviados al realizarse el submit de dicha página (por ejemplo como parte de un formulario). se encuentra basado en la alteración de los datos. contener valores en campos ocultos los cuáles si bien no son visualizados desde el navegador. siempre que no se cuenten con validaciones del lado del servidor y se haya deslindado esta responsabilidad del lado del cliente. transformando la validación de entrada en el primero de ellos y el “encoding” de la información a publicar en el seg undo.

Por su parte. Debido a ello. de modo tal de poder accederlas remotamente desde sus hogares. deberían prohibir en forma explícita a sus empleados la instalación de módems en sus terminales. discar los mismos e intentar detectar el tipo de dispositivo que se encuentra a la escucha en el otro extremo. etc. se encuentra en centrales telefónicas las cuales a menudo poseen módems de servicio conectados a líneas dedicadas a fin de que técnicos puedan accederlas remotamente con el objeto de brindar mantenimiento . PCAnywhere. la utilización de los servicios de acceso remoto de administración a centrales telefónicas corporativas. también lo es el hecho de que aún existen aplicaciones o soluciones que involucran la posibilidad de recibir conexiones de datos a partir de una comunicación del tipo Dial-Up por medio de la utilización de módems. era muy común encontrar centros de cómputos donde se apilaban una gran cantidad de módems conectados a un pool pre-establecido de números telefónicos. a efectos de detectar posibles puntos de entrada en su rango telefónico. Al margen de esta operación básica. sin el consentimiento del administrador de seguridad y violando las políticas internas. Entre los objetivos posibles por parte de un atacante. para una vez conectados acceder a los recursos de la red interna de la organización. a que nos referimos cuando hablamos de Wardialing? básicamente al hecho de barrer o escanear grandes rangos de números telefónicos.) que fueran capaces de. de forma tal que por ejemplo. Se recomienda evitar siempre que sea posible. si bien es cierto que tras el auge de Internet. conocer en forma exacta si efectivamente existe algún dispositivo o software a la escucha. podría permitir que un atacante en su etapa de reconocimiento. . Al mismo tiempo. eran realizadas a través de la red telefónica por medio de la utilización de módems. mediante la utilización de usuarios y contraseñas por default en tales productos. contando con una porción CLIENTE (REMOTE) y una porción SERVIDOR (HOST). realizar cambios de configuración. Ahora bien. ATAQUE WARDIALING Hace algunos años. sobre todo aquellas vinculadas con la red de datos. Un ejemplo de este tipo de aplicaciones. deben encontrarse correctamente validados. gran parte de las comunicaciones de datos son cursadas a través de dicha red. hoy en día aún sigue siendo probable hallar dado un rango telefónico. podrían encontrarse dispositivos tales como: equipos de FAX y centrales telefónicas. las validaciones en cada uno de los parámetros utilizados en una página web. brindarles la capacidad a los usuarios de aprovechar sus módems para establecer comunicaciones de datos entre equipos. En la actualidad. sucursales dispersas pudieran establecer una comunicación con los mismos. esperando conexiones entrantes. tienen la capacidad de reconocer la existencia de los paquetes de software comerciales más importantes e incluso intentar lograr acceso. encuentre este tipo de conexiones por medio de técnicas de Wardialing y se aproveche de ellas ganando acceso no autorizado a la red corporativa. A pesar de lo que pudiera parecer a simple vista. Muchas veces. gran parte de las comunicaciones de datos. dispositivos a la espera de comunicaciones entrantes. algunas de las herramientas de Wardialing más potentes. los analistas de seguridad deberían practicar evaluaciones periódicas. Este hecho. se debe evitar el uso de campos ocultos para manejar cualquier tipo de información sensible. usuarios corporativos instalan módems en sus Workstation. para finalmente grabar un archivo de log en donde el atacante/auditor pueda a posterior. Contramedidas Las políticas corporativas. etc. varias compañías de desarrollo de software comenzaron a comercializar productos (Remote Control. A fin de llevar a cabo este tipo de funciones. utilizando para tal fin un MODEM en conjunto con algún tipo de herramienta de software capaz de tomar un listado de teléfonos pre-establecidos. mediante técnicas de Wardialing.22 Contramedidas A fin de evitar el tampering. cuando Internet aún no se encontraba desarrollada como en la actualidad.

la búsqueda de datos dentro de la basura puede proveer información importante para comenzar un análisis. podrá tener acceso con los privilegios de un usuario interno. resúmenes de ventas. los manuales o políticas nos pueden informar sobre la estructura de seguridad y permisos que tienen los usuarios. por lo que no existe una forma de evitarlo. Una vez que se ha obtenido la confianza de la persona. correo electrónico o a través de sesiones de chat. Quizás dentro del disco obtengamos nombres de usuarios. Datos tales como agendas con números de teléfono. puede ofrecer información para realizar Ingeniería Social. pueden ser un muy buen paso para comenzar la investigación. hardware fuera de uso. La ingeniería social se da muchas veces vía telefónica. y le exige que le informe de su nombre de usuario y contraseña. el hardware en desuso. pero por ejemplo. Las actividades que se realicen con la información obtenida ya no entran en el marco de la Ingeniería social. La ingeniería social termina cuando se obtiene la información buscada. y sin realizar ninguna acción sospechosa sobre la red. Contramedidas Aquí. donde la verdadera personalidad del atacante queda oculta. manuales de uso. contraseñas Contramedidas A fin de minimizar el riesgo de que un atacante pudiera obtener información a partir de documentos desechados por la organización. Si el usuario que está siendo víctima del engaño. Otro ejemplo de Ingeniería social se puede observar en el gráfico. En la política que firman los usuarios. es muy probable que le brinde al atacante la información solicitada. Tomar objetos de la basura es completamente legal. Estas técnicas o habilidades. ATAQUE DUMPSTER DIVING / TRASHING Aunque parezca desagradable. pueden decirnos qué usuarios se encuentran fuera de la organización. De esta forma. memos. Las planificaciones de vacaciones. planificaciones de reuniones. el atacante. De esta forma se evitará también que posibles escuchas de la red intercepten la información. se debe especificar que el nombre de usuario y contraseña no pueden ser transmitidos mediante otro medio que no sea persona a persona. etc. se procede a obtener la información considerada importante. incluyen generalmente un engaño o parcialización de la verdad con el objetivo de obtener la confianza de la persona con los conocimientos a obtener. Quizás la información obtenida no sea la necesaria para realizar un ataque. Un ejemplo típico de Ingeniería social. simulando ser del departamento de informática. . la mejor contramedida es la educación de los usuarios de la red y la implementación de planes efectivos de concientización. deberían existir procedimientos claros en cuanto a la destrucción de documentos y eliminación de información digital (wipe) del material de almacenamiento desechado.23 ATAQUE INGENIERIA SOCIAL El término "Ingeniería social" incluye a un conjunto de técnicas y habilidades sociales realizadas por el atacante para obtener información de terceros. con sólo conocer el número telefónico de la víctima. organigramas. no conoce la estructura de la organización. se puede utilizar para poder recuperar la información que tenía. es cuando el atacante llama a un usuario de la red.

Existen una serie de herramientas que suelen asistirnos en el proceso de Vulnerability Scanning. como para los administradores de seguridad. . suele ser importante tanto para los atacantes. Por ejemplo. un verdadero scanner de vulnerabilidades tal como Nessus. En tal sentido. En los siguientes indicadores. Si bien es cierto que un scanner de puertos suele ser de utilidad a la hora de identificar condiciones vulnerables en un host objetivo. Algunos ejemplos básicos en lo que a “Ataques Pasivos” respectan. así como también se identifique cuales son explotables y cuáles no en función de determinadas pruebas que herramientas de este tipo son capaces de llevar a cabo. suelen por lo general brindar algún tipo de sugerencia respecto a cómo mejorar la seguridad del host evaluado. es importante mencionar que herramientas de scanning de vulnerabilidades tales como Nessus. intentaremos brindar algún detalle adicional acerca de los tipos de “Ataques Pasivos” más comunes. su ejecución contra un host crítico debería ser signo de que probablemente un atacante este reconociendo su objetivo con el fin de intentar una intrusión. Contramedidas Si bien es cierto que eventualmente un port scanning o un vulnerability scanning pueden en primera instancia no ser vistos como un ataque. En cambio en este caso el atacante tan solo escucha pasivamente a la espera de que algo ocurra de modo tal que pueda intentar obtener algún tipo de información. Nmap (Network Mapper) es un port-scanner el cual envía paquetes a un host a fin de generar una lista de los servicios que el mismo se encuentra corriendo y el tipo de sistema operativo entre otra información de utilidad. Bajo este término nos referimos al acto de probar un host con el objeto de encontrar algún tipo de proceso o servicio explotable. ESCANEADORES DE PUERTOS Y VULNERABILIDADES El Escaneadores de Vulnerabilidades. los puertos y servicios en ejecución. el atacante no afecta directamente la red objetivo. la implementación de sistemas de detección y prevención de intrusos (IDS/IPS) podrían alertar en el caso de que reiterados procesos de scanning sean realizados contra los servidores más críticos. puede ser configurado de modo tal que sea capaz de identificar vulnerabilidades conocidas en diferentes dispositivos y sistemas operativos.24 ATAQUES PASIVOS Cuando nos referimos a un tipo de “Ataque Pasivo” a diferencia de lo que ocurre en aquellos referidos como “Ataques Activos”. Estos datos suelen ser de suma importancia para un atacante a la hora de planificar un ataque efectivo contra el host objetivo. podrían mencionarse el simple hecho de escuchar la conversación que alguien más está manteniendo o el uso de binoculares para espiar una persona. sería en vano intentar atacar este con un exploit programado para explotar una vulnerabilidad de IIS (Internet Information Services). para finalmente generar un reporte en el cual se informe el tipo de sistema operativo. surgiera que el mismo se encuentra corriendo algún tipo de UNIX ejecutando un webserver. Por último. si como resultado de la ejecución de nmap sobre un host determinado.

realizar eavesdropping es mucho más sencillo ya que no se requiere ningún acceso físico al medio. Aunque no es un ataque que represente un daño o una baja en un servicio. si es que no se han implementado las medidas de seguridad adecuadas. Algunos de estos puntos son:  No permitir la existencia de segmentos de red de fácil acceso ya que representan el sitio indicado para que un atacante se conecte y capture tráfico. denominados sniffers de alta impedancia.25 SNNIFING y EAVESDROPPING Eavesdropping es el proceso de escuchar una conversación o parte de ésta. es importante considerar algunos puntos claves para evitar o facilitar que se produzca en una red. Realizar autenticación a nivel de la capa de enlace. En eavesdropping. la persona que "escucha" o tiene acceso a los datos de esta conversación. Otro punto a tener en cuenta cuando estudiamos eavesdropping es la imposibilidad de establecer límites concretos en redes wireless. se conectan en paralelo con el cable de forma que la impedancia total del cable y el aparato es similar a la del cable solo. Por ejemplo. Contramedidas Ya que los ataques de eavesdropping son. el medio donde se transportan los datos está disponible siempre. Cualquier usuario malicioso con una placa de red compatible con la tecnología wireless que se utilice. La interceptación o eavesdropping. No permitir tomas de red libres habilitados. lo más peligroso del eavesdropping es que resulta muy difícil de detectar mientras que se produce. Un medio habitual de interceptación o eavesdropping sobre una red. es el sniffing. Utilizar cifrado para realizar las comunicaciones o el almacenamiento de la información . tiene la posibilidad de "ver" las tramas que circulan desde los Access Points y las placas. Esta captación puede realizarse por muchísimos medios (por ejemplo.    . capturando las radiaciones electromagnéticas o simplemente interpretando las señales eléctricas de los cables) . lo hace sólo porque ninguna de las partes que integran la conversación ha tenido en cuenta que sus datos pueden ser leídos . donde un usuario malicioso puede conectarse para capturar tráfico. No obstante esto puede resultar difícil en redes ya instaladas pero puede ser tenido en cuenta para instalaciones nuevas. Es decir. en wireless la utilización de 802. Para cifrar la información se puede utilizar un software o dispositivos de cifrado (utilizar dispositivos involucran una alternativa más costosa pero más eficiente que el uso de software). la posibilidad de tomar e interpretar los datos es por un descuido de las partes. Este método consiste en capturar tramas que circulan por la red mediante un software que corre en una máquina conectada al segmento de red o bien mediante un dispositivo que se engancha directamente al cableado. Es recomendable analizar regularmente la red para verificar que todas las máquinas activas están autorizadas. Estos dispositivos. es un proceso mediante el cual un agente capta información (en claro o cifrada) que no le iba dirigida. lo que hace difícil su detección. de forma que un atacante puede capturar información privilegiada sin que nadie se dé cuenta. En este tipo de infraestructura. por lo general.11i permite disponer de una capa más de seguridad en el acceso a la red . difíciles de detectar.

se puede deshabilitar la cuenta por un tiempo determinado o hasta que el administrador la vuelva a habilitar. Por lo que también es necesario realizar un control de la cantidad de intentos fallidos de ingreso. se puede definir la longitud máxima y mínima. ATAQUES A LOS PASSWORDS En líneas generales. en determinadas circunstancias son los propios desarrolladores de software los que diseñan aplicaciones susceptibles de sufrir ataques de este tipo. el período mínimo en que estará activa (el tiempo que debe transcurrir antes que un usuario esté habilitado para cambiar su contraseña). lo representan aquellas aplicaciones que muestran transparentemente en pantalla. variantes en el tiempo. un control de complejidad (para evitar contraseñas triviales). luego de eso. De esta forma. el usuario tendrá más cuidado al momento de pensar en compartir sus datos. Desde el punto de vista técnico. este tipo de ataque consiste en “mirar por encima del hombro”. se debe principalmente trabajar en la implementación de planes de educación y concientización de usuarios. este inconveniente es muy fácil de solucionar (sólo es necesario cambiar la contraseña) pero muy difícil de concientizar a los usuarios de la red. Este tipo de passwords puede ser fácilmente vulnerado . Un usuario malicioso que quiera conocer la contraseña de otro usuario. El “Shoulder Surfing” no solo se ve beneficiado por la ingenuidad de los usuarios de un equipo. Es necesario hacer responsable al usuario de las acciones que se realicen con su nombre de usuario y contraseña. un control de historial (para evitar que se repitan las contraseñas). podría realizar repetidos intentos hasta obtener el ingreso. el período máximo en que estará activa (pasado ese período deberá ser cambiada). se debe evitar la utilización de cualquier tipo de aplicación en la cual el ingreso de las passwords tipiadas pueda ser observado en pantalla. respecto de la importancia de utilizar contraseñas complejas. es decir espiar físicamente a los usuarios. a fin de prevenir el shoulder surfing. Cualquier individuo situado cerca de un usuario el cual este haciendo uso de esta aplicación. para obtener generalmente nombres de usuario o claves de acceso a un sistema. Contramedidas Tal como lo mencionáramos cuando nos referimos a los ataques de ingeniería social en general. podría eventualmente leer claramente esa clave. gran parte de las intrusiones que con frecuencia son llevadas a cabo por un intruso. En general. Paradójicamente.26 SHOULDER SURFING “Shoulder Surfing”. el uso de passwords estáticas suele ser el método tradicional en muchas empresas. sino que por el contrario tienen su origen en la explotación de contraseñas inseguras o fáciles de adivinar. Tal como su nombre lo indica. Aunque existen varias maneras de autenticar un usuario. etc. En general se permiten sólo tres intentos fallidos. Un claro ejemplo. las contraseñas al ser tipiadas. suele ser el termino para describir un particular tipo de ataque que se aprovecha de la ingenuidad de los usuarios de sistemas. La mayoría de los sistemas operativos de red permiten definir una política de contraseñas . Los valores seguros para una política de contraseñas se pueden observar en el gráfico . no tienen se valen de fallos en la implementación de una tecnología determinada ni en problemas de seguridad de los protocolos utilizados.

siendo estos un conjunto de símbolos no imprimibles.27 con herramientas como John the Ripper. Dicho de otro modo. L0pht-crack. etc. Una vez que los datos de un proceso de autenticación son capturados. Hoy en día es posible encontrar muchas herramientas en capacidad de lanzar ataques de fuerza bruta contra contraseñas. . el atacante puede iniciar un “crack” de la password a través de técnicas por “Diccionario” . CAIN. Siempre que se mencione la posibilidad de lanzar un ataque de contraseñas. en el peor de los casos deberían intentarse entre 100^4 y 100^16 combinaciones hasta dar con el valor correcto. la definición de ataque por fuerza bruta. poseen entre 4 y 16 caracteres. esfuerzo y recursos necesarios para romper un criptosistema. podría ser llevada a cabo sin mayores inconvenientes en un tiempo razonable. describiremos cada uno de los métodos mencionados. también lo es el hecho que generalmente la mayoría de las contraseñas que suelen utilizarse. No obstante. Entre las más importantes se cuentan: LOphtCrack. Por último. minúsculas y números. FUERZA BRUTA En términos simples. la probabilidad de dar con la contraseña correcta es nula. quizás la más efectiva contra ataques de fuerza bruta. no sea otra que el bloqueo de cuentas luego de una serie determinada de intentos fallidos (3-5). tal como aquellas que combinan una longitud de entre 7 y 16 caracteres. Si bien es cierto que los ataques a contraseñas por fuerza bruta suelen en algunos casos ser la única opción en determinados casos. Puesto que tan solo cerca de 100 valores diferentes pueden ser utilizados para cada uno de los caracteres que conforma una contraseña. termine por no ser efectivo. puede que para cuando terminemos por romper una contraseña la información que estemos tratando de acceder. Si bien es cierto que frente a un conjunto infinito de posibilidades. letras mayúsculas. Brutus y John the Ripper. suele ser una buena contramedida. por tanto suele ser la última opción cuando de atacar contraseñas se trata. “Fuerza Bruta” o algún “Hibrido”. Contramedidas El establecimiento de contraseñas duras de romper. es posible decir que un ataque por fuerza bruta. teóricamente siempre arrojara un resultado positivo en cuanto a lo que hallar la clave correcta se refiere. término que se refiere al conjunto de posibles valores usados para construir una clave. Por su parte. En los indicadores dispuestos a continuación. lo cierto es que dicho proceso suele ser considerado costoso en tiempo computacional (dado que utilizan el método de prueba y error). otro termino asociado “Work Factor” o “Factor de Trabajo” se refiere al tiempo estimado. es importante tener en cuenta lo que en criptografía se conoce como “Keyspace” o “Espacio de Claves”. ya no posea el mismo valor que cuando el ataque fue lanzado. refiere a la acción de intentar tantas combinaciones de contraseñas como sean necesarias hasta dar con la correcta. tarea que con el poder de cómputo actual. no obstante en términos prácticos puede que el tiempo y esfuerzo invertido en tal tarea.

Lengua Castellana. HIBRIDOS Hoy en día.28 DICCIONARIOS La selección adecuada de contraseñas. los cuales no son otra cosa que una técnica consistente en la combinación de de los ataques de fuerza bruta y diccionario. puesto que basados en el hecho de que los usuarios habitualmente seleccionan palabras simples al momento de registrar sus contraseñas. no crees?”  “Emnhemqeddhn?”) . Generalmente. Contramedidas En el caso de los ataques mediante la utilización de diccionarios. hacen de estas un objetivo sumamente apetecible para los ataques “De Diccionario”. aunque a menudo suele ser recomendado el armado de contraseñas basadas por ejemplo en la selección de una frase larga de varias palabras. no solo la posibilidad de lanzar ataques basados en diccionario o fuerza bruta. es posible al igual que en los ataques de fuerza bruta. etc. las contramedidas a aplicar siguen siendo principalmente aquellas mencionadas en el indicador “4. En este tipo de ataques.: “El mar nunca ha estado mejor que el día de hoy. pero claro está que no lo elimina. suelen ser de gran ayuda en cuanto a que estas probablemente no existan en ningún diccionario pre-establecido. Nombres Propios. En este tipo de ataques. el éxito se encuentra relacionado con el tamaño y calidad del diccionario utilizado. Contramedidas Los ataques de tipo híbrido.) y de la probable debilidad de las políticas utilizadas por los usuarios a la hora de seleccionar sus passwords. Lengua Inglesa. sino que además incorporan la característica de ejecutar lo que se conoce como ataques híbridos. un archivo de diccionario es utilizado. alguna de sus ocurrencias sea coincidente con la clave utilizada por la victima.: ”Irresponsable123456”). del criterio utilizado para su selección (Películas de Cine. largas listas de palabras de un lenguaje en particular llamadas simplemente “Archivo de Diccionario” son utilizados para lanzar búsquedas en el que. el set de caracteres que se utilizará al momento de combinar estos con las búsquedas de diccionario. Cuando un ataque hibrido es lanzado. los ataques por diccionario son mucho más eficientes y efectivos que los ataques por fuerza bruta. aplican las mismas contramedidas mencionadas en el indicador anterior. sino a su vez intentando algún tipo de variación que pudiera coincidir con el criterio utilizado por el usuario al momento de seleccionar su contraseña. Al momento de configurar este tipo de ataques. Nuevamente. pero a la vez sobre él se realizan una serie de permutaciones y variaciones intentando ampliar su rango de acción no solo a las palabras conocidas contenidas en el diccionario seleccionado. minimiza el riesgo asociado con que nuestras contraseñas puedan ser crackeadas.1 Fuerza Bruta”. aunque la inclusión de caracteres no imprimibles o la creación de passwords basadas en palabras sin sentido.6. suelen ser efectivos sobre todo cuando se intenta hallar algunas de las combinaciones que con mayor frecuencia utilizan los usuarios al momento de seleccionar sus contraseñas tal como la mezcla de una palabra de uso común con una cifra numérica o un conjunto de caracteres alfabéticos (Ej. basta con contar con el archivo de diccionario adecuado para dar con la contraseña correcta en un tiempo notablemente inferior que el de un ataque por fuerza bruta. la mayoría de las herramientas avanzadas de cracking de contraseñas brindan al atacante o analista de seguridad. para luego tomar sus iniciales al momento de establecer una clave (Ej. y por tanto no pueda ser adivinada mediante la utilización de este tipo de métodos. A menudo passwords simples tal como cualquier palabra de nuestro lenguaje cotidiano.