Estado Actual de la Ciberseguridad

3.1.1

Estado Actual de los Asuntos

Los Delincuentes cibernéticos ahora tienen la experiencia y las herramientas necesarias para
derribar la infraestructura y los sistemas críticos. Sus herramientas y técnicas continúan
evolucionando.

Los Cibercriminales están llevando el malware a niveles de sofisticación e impacto sin

precedentes. Se están volviendo más expertos en el uso de técnicas de sigilo y evasión para
ocultar su actividad. Por último, los cibercriminales están explotando brechas indefensas en la
seguridad.

Las Transgresiones de seguridad en la red pueden interrumpir el comercio electrónico, causar

la pérdida de datos comerciales, amenazar la privacidad de las personas y comprometer la
integridad de la información. Estas Transgresiones pueden dar como resultado la pérdida de
ingresos para las corporaciones, el robo de propiedad intelectual, demandas judiciales e
incluso pueden amenazar la seguridad pública.

Mantener una red segura garantiza la seguridad de los usuarios de la red y protege los
intereses comerciales. Las organizaciones necesitan personas que puedan reconocer la
velocidad y la escala a la que los adversarios están acumulando y refinando su armamento
cibernético. Todos los usuarios deben conocer los términos de seguridad en la tabla.

Leyenda de la tabla

Términos de Seguridad Descripción

Un activo es cualquier cosa de valor para la organización. Incluye personas, equipos, recursos y
Activos
datos.

Una vulnerabilidad es una debilidad en un sistema, o su diseño, que podría ser explotado por
Vulnerabilidad
una amenaza.

Una amenaza es un peligro potencial para los activos, los datos o la red de una empresa
Amenaza
funcionalidad de enrutamiento.

Explotar Una explotación es un mecanismo para tomar ventaja de una vulnerabilidad.

La mitigación es la contra-medida que reduce la probabilidad o gravedad de una posible

Mitigación
amenaza o riesgo. La seguridad de la red implica técnicas de mitigación múltiple.

Riesgo El riesgo es la probabilidad de que una amenaza explote la vulnerabilidad de un activo, con el
objetivo de afectar negativamente a una organización. Riesgo es medido utilizando la
 Leyenda de la tabla

Términos de Seguridad Descripción

probabilidad de ocurrencia de un evento y sus consecuencias.

Los activos deben ser identificados y protegidos. Las vulnerabilidades deben abordarse antes
de que se conviertan en una amenaza y sean explotadas. Se requieren técnicas de mitigación
antes, durante y después de un ataque.

Agentes de Amenazas
3.2.1

El pirata informático

En el tema anterior, obtuvo una visión de alto nivel del panorama actual de la ciberseguridad,
incluidos los tipos de amenazas y vulnerabilidades que afectan a todos los administradores y
arquitectos de la red En este tema, aprenderá más detalles sobre tipos particulares de actores
de amenazas.

Como sabemos, “hacker” es un término común usado para describir a un agente de amenaza.
Como se muestra en la figura, se suelen usar los términos hacker de sombrero blanco, hacker
de sombrero negro y hacker de sombrero gris para describir a los hackers.

Leyenda de la tabla

Tipo de Hacker Descripción

Son hackers éticos que utilizan sus habilidades de programación para fines buenos, éticos y
legales. Los hackers de sombrero blanco pueden realizar en la red pruebas de penetración en
Hackers de Sombrero un intento de comprometer redes y sistemas por utilizando su conocimiento de los sistemas
Blanco de seguridad informática para descubrir la red vulnerabilidades. Las vulnerabilidades de
seguridad se informan a los desarrolladores para que lo arreglen antes de que las
vulnerabilidades puedan ser explotadas.

Estas son personas que cometen crímenes y que posiblemente sean poco éticas cosas, pero no
Hackers de Sombrero
para beneficio personal o para causar daños. Hackers de Sombrero Gris puede revelar una
Gris
vulnerabilidad a la organización afectada después de haber comprometió su red.

Hackers de Sombrero Estos son delincuentes poco éticos que comprometen la computadora y la red. seguridad para
Negro beneficio personal o
Evolución de los Hackers

El hacking comenzó en los sesenta con el “phone freaking” o el “phreaking”, una actividad que
hace referencia al uso de diversas frecuencias de audio para manipular los sistemas
telefónicos. En aquel momento, los sistemas telefónicos utilizaban varios tonos (o la
marcación por tonos) para indicar distintas funciones. Los primeros agentes de amenaza se
dieron cuenta de que, imitando un tono con un silbato, podían atacar los sistemas telefónicos
y hacer llamadas de larga distancia gratis.

A mediados de los ochenta, se usaban módems de acceso telefónico para conectar las
computadoras a las redes. Los hackers escribieron programas de "marcado de guerra" que
marcaban cada número de teléfono en un área determinada en busca de computadoras.
Cuando se encontraba un número de teléfono, se utilizaban programas que descifren
contraseñas para obtener acceso.

La figura muestra los términos de pirateria moderna y una breve descripción de cada una.

Leyenda de la tabla

Término de Piratería Descripción

Estos son adolescentes o piratas informáticos sin experiencia que ejecutan scripts existentes,
Script kiddies
herramientas y hazañas para causar daño, pero generalmente sin fines de lucro.

Agentes de Por lo general, son hackers de sombrero gris que intentan descubrir debilidades Descubren
Vulnerabilidad ataques y los reportan a proveedores, a veces por premios o recompensas.

Estos son hackers de sombrero gris que protestan públicamente contra organizaciones o
Hacktivistas gobiernos mediante la publicación de artículos, videos, fugas sensibles información y realizar
ataques a la red.

Delincuentes Estos son hackers de sombrero negro que trabajan por cuenta propia o trabajan para grandes
cibernéticos organizaciones de cibercriminales.

Estos son hackers de sombrero blanco o de sombrero negro que roban al gobierno secretos,
Patrocinados por el recopilar inteligencia y sabotear redes. Sus objetivos son los gobiernos, los grupos terroristas y
estado las corporaciones extranjeras. La mayoría de los países del mundo participan en algún tipo de
hacking patrocinado por el estado hackear.

3.2.3

Delincuentes Cibernéticos

Se calcula que, en todo el mundo, los cibercriminales roban miles de millones de dólares de
los consumidores y las empresas cada año. Los cibercriminales operan en una economía
clandestina donde compran, venden e intercambian grupos de herramientas de ataque, código
de explotación de día cero, servicios de botnet, troyanos bancarios, registradores de teclas y
mucho más. También compran y venden la información privada y la propiedad intelectual que
roban de sus víctimas. Los cibercriminales apuntan a pequeñas empresas y consumidores,
así como a grandes empresas e industrias.

3.2.4

Hacktivistas

Dos ejemplos de grupos activistas hackers son Anónimo y el Ejército Electrónico Sirio. Aunque
la mayoría de los grupos activistas hackers no están bien organizados, pueden causar
problemas importantes para los gobiernos y las empresas. Los activistas hackers tienden a
confiar en herramientas bastante básicas y de libre acceso.

3.2.5

Atacantes Patrocinados por el Estado

Los piratas informáticos patrocinados por el estado crean un código de ataque avanzado y
personalizado, a menudo utilizando vulnerabilidades de software previamente no descubiertas
llamadas vulnerabilidades de día cero. Un ejemplo de un ataque patrocinado por el estado
involucró el malware de Stuxnet diseñado para dañar la planta de enriquecimiento nuclear de
Irán.

Herramientas de los Agentes de Amenaza

Herramientas de los Agentes de Amenazas
de los Agentes de Amenaza
3.3.1

Introducción a las Herramientas de Ataque

Para explotar una vulnerabilidad, un actor de amenazas debe tener una técnica o herramienta.
Con los años, las herramientas de ataque se han vuelto más sofisticadas y altamente
automatizadas. Estas nuevas herramientas requieren menos conocimiento técnico para su
implementación.

En la figura, arrastre el círculo por la línea de tiempo para ver la relación entre la sofisticación
de las herramientas de ataque y el conocimiento técnico necesario para utilizarlas.

muestra una barra con sofisticación de ataque a la izquierda y una barra con conocimientos
técnicos a la derecha. En 1985, los ataques no eran muy sofisticados y requerían muchos
conocimientos técnicos. Con el paso del tiempo, la sofisticación del ataque creció y el
conocimiento técnico requerido disminuyó.
Sofisticación de las herramientas de ataque frente al
conocimiento técnico
Alto

Medio

Bajo

Sofisticación de herramientas de ataque

Conocimiento técnico
3.3.3

Evolución de las Herramientas de Seguridad

El hacker ético involucra a muchos tipos diferentes de herramientas para probar y mantener la
seguridad de la red y sus datos. Para validar la seguridad de una red y sus sistemas, se han
desarrollado muchas herramientas de prueba para la penetración de red. Es lamentable que
los hackers de sombrero negro puedan utilizar muchas de estas herramientas para su
explotación.

Los hackers de sombrero negro también han creado muchas herramientas de piratería. Estas
herramientas están escritas explícitamente con motivos maliciosos. Los hackers de sombrero
blanco también deben saber cómo usar estas herramientas al realizar pruebas de penetración
de red.

La tabla destaca categorías de herramientas comunes de prueba de penetración. Observe

cómo algunas herramientas son utilizadas por hackers de sombrero blanco y de sombrero
negro. Tenga en cuenta que esta lista no es definitiva, ya que se desarrollan nuevas
herramientas constantemente.

Leyenda de la tabla

Tipo de ataque Descripción

Esto es cuando un
actor de amenaza
captura “escucha” a
Ataque de intercepción pasiva
tráfico de red. Este
(eavesdropping)
ataque también se
conoce como sniffing
o snooping.

Ataque de Modificación de Datos Si los actores de la

amenaza han
capturado el tráfico
 Leyenda de la tabla

Tipo de ataque Descripción

empresarial, pueden
alterar los datos en
el paquete sin el
conocimiento del
remitente o receptor.

Un actor de
amenaza construye
un paquete IP que
Ataque de suplantación de
parece originarse de
dirección IP
un dirección válida
dentro de la intranet
corporativa.

Si los actores de
amenazas
descubren una
cuenta de usuario
válida, los actores de
amenazas tienen los
mismos derechos
que el usuario real.
Los actores de
amenazas podrían
Ataques Basados en Contraseñas usar como válida la
cuenta para obtener
listas de otros
usuarios,
información de red,
cambio de
configuraciones de
servidores y redes, y
modificar,
redireccionar o
eliminar datos.

Ataque por Denegación de Un ataque de DoS

Servicio impide el uso normal
de una computadora
o red por parte de
usuarios válidos
usuarios. Un ataque
DoS puede inundar
una computadora o
 Leyenda de la tabla

Tipo de ataque Descripción

toda la red con

tráfico hasta que se
produzca un
apagado debido a la
sobrecarga. Ataque
de DoS también
puede bloquear el
tráfico, lo que resulta
en una pérdida de
acceso a la red
recursos por
usuarios
autorizados.

Este ataque ocurre

cuando los actores
de amenaza se han
posicionado entre el
origen y destino.
Ataque man-in-the-middle
Ahora pueden
monitorear, capturar
y controlar la
comunicación de
forma transparente.

Si un actor de
amenaza obtiene
una clave secreta,
esa clave se conoce
como clave en
riesgo. Se puede
usar una clave
Ataque de Claves Comprometidas
comprometida para
obtener acceso a un
comunicación segura
sin que el remitente
o el receptor sean
conscientes del
ataque.

Ataque de analizador de Un detector es una

protocolos aplicación o
dispositivo que
puede leer,
 Leyenda de la tabla

Tipo de ataque Descripción

monitorear y
capturar
intercambios de
datos de red y leer
paquetes de red. Si
los paquetes no
están cifrados, un
analizador de
protocolos permite
ver por completo los
datos que están
dentro del paquete

Vulnerabilidades y Amenazas de IP
3.6.1

Video - Ataques comunes de IP e ICMP

Hay incluso más tipos de ataques que los discutidos en los temas anteriores. Algunos atacan
específicamente las vulnerabilidades de IP, como aprenderá en este tema.

IPv4 e IPv6

El protocolo IP no hace ningún esfuerzo para validar si la dirección IP de origen que figura en
un paquete realmente proviene de ese origen. Por eso, los agentes de amenaza pueden
enviar paquetes con una dirección IP de origen falsa. Además, los agentes de amenaza
pueden alterar los demás campos del encabezado de IP para llevar a cabo sus ataques. Los
analistas de seguridad deben comprender los diferentes campos en los encabezados IPv4 e
IPv6.

Algunos de los ataques relacionados con IP más comunes se muestran en la tabla.

Leyenda de la tabla

Técnicas de Ataque IP Descripción

Ataques ICMP Ataques de

ICMP: los
agentes de
amenaza
 Leyenda de la tabla

Técnicas de Ataque IP Descripción

utilizan
paquetes de
eco (pings) del
protocolo de
mensajería de
control de
Internet
(ICMP) para
detectar
subredes y
hosts en una
red protegida
y, luego,
generar
ataques de
saturación de
DoS y
modificar las
tablas de
routing de los
hosts.

Ataques de
DoS: los
agentes de
amenaza
intentan
Ataques de reflejo y amplificación impedir que
usuarios
legítimos
tengan acceso
a información
o servicios.

Ataques de suplantación de direcciones Los agentes

de amenaza
suplantan la
dirección IP
de origen en
un paquete de
IP para
 Leyenda de la tabla

Técnicas de Ataque IP Descripción

realizar
suplantación
blind o non-
blind.

Los agentes
de amenaza
se posicionan
entre un
origen y un
destino para
monitorear,
obtener y
controlar la
comunicación
de manera
transparente.
Ataques man-in-the-middle (MITM) Simplemente
pueden
escuchar en
silencio
mediante la
inspección de
paquetes
capturados o
modificar
paquetes y
reenviarlos a
su destino
original.

Los agentes
de amenaza
obtienen
acceso a la
red física y,
Secuestros de sesiones
luego, usan un
ataque de
MITM para
secuestrar
una sesión.
3.6.3

Ataques ICMP

Los agentes de amenaza utilizan el ICMP para los ataques de reconocimiento y análisis. Esto
les permite iniciar ataques de recopilación de información para conocer la disposición de una
topología de red, detectar qué hosts están activos (dentro del alcance), identificar el sistema
operativo del host (identificación del SO) y determinar el estado de un firewall. Los actores de
amenazas también usan ICMP para ataques DoS.

Nota: ICMP para IPv4 (ICMPv4) e ICMP para IPv6 (ICMPv6) son susceptibles a ataques
similares.

Las redes deben tener filtros estrictos de lista de control de acceso (ACL) en el perímetro de la
red para evitar sondeos de ICMP desde Internet. Los analistas de seguridad deben ser
capaces de detectar ataques relacionados con ICMP observando el tráfico capturado y los
archivos de registro. En el caso de redes grandes, los dispositivos de seguridad (como
firewalls y sistemas de detección de intrusiones o IDS) deben detectar este tipo de ataques y
generar alertas para los analistas de seguridad.

Los mensajes comunes de ICMP de interés para los actores de amenazas se enumeran en la
tabla.

Ataques de Amplificación, Reflexión, y Suplantación (Spoofing)

Haga clic en el botón play de la figura para visualizar el video sobre ataques de amplificación,
reflexión y suplantación (spoofing).

Play Video
3.6.5

Ataques de reflexión y amplificación

Los agentes de amenaza suelen usar técnicas de amplificación y reflejo para crear ataques de
DoS. En la figura, se ejemplifica cómo se utiliza una técnica de amplificación y reflejo llamada
“ataque Smurf” para abrumar un host objetivo:

12
AtacanteSolicitud de echo ICMP (origen: IP de la víctima)VíctimaRespuestas de echo ICMP (destino: IP de la
víctima)

1. Amplification - El actor de amenazas reenvía mensajes de solicitud de eco ICMP a

muchos hosts. Estos mensajes contienen la dirección IP de origen de la víctima.
2. Reflection - Todos estos hosts responden a la dirección IP falsificada de la víctima
para abrumarla.
Nota: Ahora se utilizan nuevas formas de ataques de amplificación y reflejo, como ataques de
amplificación y reflejo con base en DNS y ataques de amplificación de NTP.

Los actores de amenazas también usan ataques de agotamiento de recursos. Estos ataques
consumen los recursos de un host objetivo para bloquearlo o consumir los recursos de una
red.

Ataques de suplantación de dirección

Los ataques de suplantación de dirección IP se producen cuando un agente de amenaza crea

paquetes con información falsa de la dirección IP de origen para ocultar la identidad del
remitente o hacerse pasar por otro usuario legítimo. Entonces, el atacante puede obtener
acceso a datos a los que no podría acceder de otro modo, o pasar por alto configuraciones de
seguridad. La suplantación de dirección IP suele formar parte de otro ataque denominado
ataque Smurf.

Los ataques de suplantación pueden ser no ciegos o ciegos:

 Suplantación non-blind (non-blind spoofing): el agente de amenaza puede ver el

tráfico que se envía entre el host y el destino. El agente de amenaza usa este tipo de
suplantación para inspeccionar el paquete de respuesta de la víctima. La suplantación
de identidad no ciega determina el estado de un contrafuego y la predicción del
número de secuencia. También puede secuestrar una sesión autorizada.
 Suplantación blind (blind spoofing): el agente de amenaza no puede ver el tráfico
que se envía entre el host y el destino. Este tipo de suplantación se utiliza en ataques
de DoS.

Los ataques de suplantación de dirección MAC se utilizan cuando los agentes de amenaza
tienen acceso a la red interna. Los agentes de amenaza cambian la dirección MAC de su host
para que coincida con otra dirección MAC conocida de un host de destino, como se ve en la
Figura 1. Luego, el host atacante envía una trama a través de la red con la dirección MAC
recién configurada. Cuando el switch recibe la trama, examina la dirección MAC de origen.

Un servidor y un atacante están conectados al mismo switch. El servidor tiene una dirección
MAC: AABBCC y está conectado al puerto 1. El atacante está conectado al puerto 2 y tiene
una dirección MAC suplantada: AABBCC. Un globo del atacante dice: He cambiado la
dirección MAC en mi computadora para que coincida con el servidor. Un diagrama encima del
switch indica que ha asignado AABBCC al puerto 1. El puerto 2 no tiene una asignación.

El atacante simula ser la dirección MAC de un servidor

AABBCC21
Puerto del switchAtacanteDirección MAC suplantada:
AABBCCPuerto 2Puerto 1Dirección MAC
AABBCCHe cambiado la dirección MAC de mi computadora para que coincida con el servidor.

El switch sobrescribe la entrada actual en la tabla CAM y asigna la dirección MAC al puerto
nuevo, como se ve en la Figura 2. Luego, reenvía las tramas destinadas al host de destino al
host atacante.
Un servidor y un atacante están conectados al mismo switch. El servidor tiene una dirección
MAC: AABBCC y está conectado al puerto 1. El atacante está conectado al puerto 2 y tiene
una dirección MAC suplantada: AABBCC. Se lee una llamada debajo del switch: el dispositivo
con la dirección MAC AABBCC se ha movido al Puerto 2. Por lo tanto, debo ajustar mi tabla de
direcciones MAC. Un diagrama sobre el switch indica que ha asignado AABBCC al puerto 2. El
puerto 1 no tiene una asignación.

Un switch actualiza la tabla CAM con una dirección

suplantada
AABBCC21
Puerto del switchAtacanteDirección MAC suplantada:
AABBCCPuerto 2Puerto 1Dirección MAC
AABBCCEl dispositivo con la dirección MAC: AABBCC se ha trasladado al Puerto 2. Por lo tanto, debo ajustar mi
tabla de direcciones MAC.

La suplantación de aplicaciones o servicios es otro ejemplo de suplantación. Un agente de

amenaza puede conectar un servidor DHCP malicioso para crear una condición de MITM.

Servicios IP
3.8.1

Vulnerabilidades de ARP

Anteriormente en este módulo aprendió sobre vulnerabilidades con IP, TCP y UDP. El conjunto
de protocolos TCP / IP nunca se creó para la seguridad. Por lo tanto, los servicios que utiliza
IP para direccionar funciones como ARP, DNS y DHCP tampoco son seguros, como aprenderá
en este tema.

Los hosts transmiten una solicitud de ARP a otros hosts del segmento para determinar la
dirección MAC de un host con una dirección IP específica. Todos los hosts de la subred
reciben y procesan la solicitud de ARP. El host con la dirección IP que coincide con la de la
solicitud de ARP envía una respuesta de ARP.

En la figura, haga clic en el botón Reproducir para ver el proceso de ARP en funcionamiento.

El Proceso ARP
Debo enviar una solicitud de ARP para descubrir la dirección MAC del host con la dirección IP 192.168.1.7.

No soy yo.

No soy yo.

Soy yo. Enviaré mi dirección MAC.

Ahora tengo la dirección MAC. Puedo enviar mi información.

Gracias. La recibí.
Cualquier cliente puede enviar una respuesta de ARP no solicitada llamada “ARP gratuito”.
Esto suele hacerse cuando un dispositivo se inicia por primera vez para informar a todos los
demás dispositivos de la red local sobre la nueva dirección MAC del dispositivo. Cuando un
host envía un ARP gratuito, otros hosts en la subred almacenan en sus tablas de ARP la
dirección MAC y la dirección IP que contiene dicho ARP.

Esta característica de ARP también significa que cualquier host puede reclamar ser el
propietario de cualquier IP o MAC. Un agente de amenaza puede envenenar la caché de ARP
de los dispositivos en la red local y crear un ataque de MITM para redireccionar el tráfico. El
objetivo es atacar un host y cambiar su gateway predeterminado por el del dispositivo del
agente de amenaza. Esto posiciona al agente de amenaza entre la víctima y todos los demás
sistemas fuera de la subred local.

Ataques DNS

El protocolo de Servicio de Nombres de Dominio (DNS) define un servicio automatizado que

coincide con los nombres de recursos, como www.cisco.com, con la dirección de red numérica
necesaria, como la dirección IPv4 o IPv6. Incluye el formato para las consultas, respuestas y
datos, y usa registros de recursos (RR) para identificar el tipo de respuesta de DNS.

La protección de DNS suele pasarse por alto. Sin embargo, es fundamental para el
funcionamiento de una red y debe protegerse correctamente.

Los ataques DNS incluyen lo siguiente:

 Ataques de resolución abiertos de DNS

 Ataques sigilosos de DNS
 Ataques de concurrencia de DNS
 Ataques de tunelización de DNS

Ataques de resolución abiertos de DNS

Muchas organizaciones utilizan los servicios de los servidores DNS públicos abiertos, como
GoogleDNS (8.8.8.8), para responder las consultas. Este tipo de servidor DNS se denomina
resolución abierta. Una resolución de DNS abierta responde las consultas de clientes fuera de
su dominio administrativo. DNS open resolvers are vulnerable to multiple malicious activities
described in the table.

Leyenda de la tabla

Vulnerabilidades de Resolución
Descripción
de DNS

Los ataques de envenenamiento Los actores de amenazas

de caché DNS envían información de
recursos de registro (RR)
falsificados a un
 Leyenda de la tabla

Vulnerabilidades de Resolución
Descripción
de DNS

solucionador de DNS para

redirigir a los usuarios de
sitios legítimos a sitios
maliciosos. Los ataques de
envenenamiento de caché
DNS se pueden usar para
informar al DNS resolver
para utilizar un servidor de
nombres malicioso que
está proporcionando RR
información para
actividades maliciosas.

Los actores de amenazas

usan ataques DoS o DDoS
en servidores de resolución
abiertos DNS para
aumentar el volumen de
ataques y ocultar la
verdadera fuente de un
ataque. Los actores de
Amplificación de DNS y ataques
amenazas envían mensajes
de reflexión
DNS a los solucionadores
abiertos la dirección IP de
un host de destino. Estos
ataques son posibles
porque la resolución
abierta responde las
consultas de cualquiera
que pregunte.

Ataques de recursos disponibles Un ataque DoS que

de DNS consume los recursos de
los solucionadores abiertos
de DNS. Este ataque DoS
consume todos los recursos
disponibles para afectan a
las operaciones del
solucionador abierto DNS.
El impacto de este DoS
 Leyenda de la tabla

Vulnerabilidades de Resolución
Descripción
de DNS

ataque puede requerir que

el solucionador abierto DE
DNS se reinicie o los
servicios para ser detenido
y reiniciado.

Ataques Sigilosos de DNS

Para ocultar su identidad, los agentes de amenaza también utilizan las siguientes técnicas de
DNS sigilosas para llevar a cabo sus ataques:

Leyenda de la tabla

Técnicas de Sigilo DNS Descripción

Los actores de amenazas

utilizan esta técnica para
ocultar su phishing y
malware sitios de entrega
detrás de una red de DNS
comprometido que cambia
rápidamente hosts. Las
Flujo Rápido direcciones IP de DNS
cambian constantemente
en apenas minutos. Las
botnets a menudo emplean
técnicas Fast Flux para
esconderse efectivamente
servidores maliciosos de
ser detectados.

Flujo IP Doble Los actores de amenazas

utilizan esta técnica para
cambiar rápidamente el
nombre de host a IP
asignaciones de direcciones
y también para cambiar el
servidor de nombres
autorizado. Esto aumenta
 Leyenda de la tabla

Técnicas de Sigilo DNS Descripción

la dificultad para identificar

el origen del ataque.

Los actores de amenazas

usan esta técnica en
malware para generar
aleatoriamente nombres
Algoritmos de Generación de
de dominio que luego
Dominio
pueden usarse como
puntos de encuentro para
su servidores de comando
y control (C&C)

Ataques de Sombreado de Dominio de DNS

El sombreado de dominio implica que el actor de la amenaza reúne credenciales de cuenta de

dominio para crear silenciosamente múltiples subdominios para usar durante los ataques.
Estos subdominios generalmente apuntan a servidores maliciosos sin alertar al propietario real
del dominio principal.