Professional Documents
Culture Documents
Cisco
Cisco
3.1.1
Los Delincuentes cibernéticos ahora tienen la experiencia y las herramientas necesarias para
derribar la infraestructura y los sistemas críticos. Sus herramientas y técnicas continúan
evolucionando.
Mantener una red segura garantiza la seguridad de los usuarios de la red y protege los
intereses comerciales. Las organizaciones necesitan personas que puedan reconocer la
velocidad y la escala a la que los adversarios están acumulando y refinando su armamento
cibernético. Todos los usuarios deben conocer los términos de seguridad en la tabla.
Leyenda de la tabla
Un activo es cualquier cosa de valor para la organización. Incluye personas, equipos, recursos y
Activos
datos.
Una vulnerabilidad es una debilidad en un sistema, o su diseño, que podría ser explotado por
Vulnerabilidad
una amenaza.
Una amenaza es un peligro potencial para los activos, los datos o la red de una empresa
Amenaza
funcionalidad de enrutamiento.
Riesgo El riesgo es la probabilidad de que una amenaza explote la vulnerabilidad de un activo, con el
objetivo de afectar negativamente a una organización. Riesgo es medido utilizando la
Leyenda de la tabla
Los activos deben ser identificados y protegidos. Las vulnerabilidades deben abordarse antes
de que se conviertan en una amenaza y sean explotadas. Se requieren técnicas de mitigación
antes, durante y después de un ataque.
Agentes de Amenazas
3.2.1
El pirata informático
En el tema anterior, obtuvo una visión de alto nivel del panorama actual de la ciberseguridad,
incluidos los tipos de amenazas y vulnerabilidades que afectan a todos los administradores y
arquitectos de la red En este tema, aprenderá más detalles sobre tipos particulares de actores
de amenazas.
Como sabemos, “hacker” es un término común usado para describir a un agente de amenaza.
Como se muestra en la figura, se suelen usar los términos hacker de sombrero blanco, hacker
de sombrero negro y hacker de sombrero gris para describir a los hackers.
Leyenda de la tabla
Son hackers éticos que utilizan sus habilidades de programación para fines buenos, éticos y
legales. Los hackers de sombrero blanco pueden realizar en la red pruebas de penetración en
Hackers de Sombrero un intento de comprometer redes y sistemas por utilizando su conocimiento de los sistemas
Blanco de seguridad informática para descubrir la red vulnerabilidades. Las vulnerabilidades de
seguridad se informan a los desarrolladores para que lo arreglen antes de que las
vulnerabilidades puedan ser explotadas.
Estas son personas que cometen crímenes y que posiblemente sean poco éticas cosas, pero no
Hackers de Sombrero
para beneficio personal o para causar daños. Hackers de Sombrero Gris puede revelar una
Gris
vulnerabilidad a la organización afectada después de haber comprometió su red.
Hackers de Sombrero Estos son delincuentes poco éticos que comprometen la computadora y la red. seguridad para
Negro beneficio personal o
Evolución de los Hackers
El hacking comenzó en los sesenta con el “phone freaking” o el “phreaking”, una actividad que
hace referencia al uso de diversas frecuencias de audio para manipular los sistemas
telefónicos. En aquel momento, los sistemas telefónicos utilizaban varios tonos (o la
marcación por tonos) para indicar distintas funciones. Los primeros agentes de amenaza se
dieron cuenta de que, imitando un tono con un silbato, podían atacar los sistemas telefónicos
y hacer llamadas de larga distancia gratis.
A mediados de los ochenta, se usaban módems de acceso telefónico para conectar las
computadoras a las redes. Los hackers escribieron programas de "marcado de guerra" que
marcaban cada número de teléfono en un área determinada en busca de computadoras.
Cuando se encontraba un número de teléfono, se utilizaban programas que descifren
contraseñas para obtener acceso.
La figura muestra los términos de pirateria moderna y una breve descripción de cada una.
Leyenda de la tabla
Estos son adolescentes o piratas informáticos sin experiencia que ejecutan scripts existentes,
Script kiddies
herramientas y hazañas para causar daño, pero generalmente sin fines de lucro.
Agentes de Por lo general, son hackers de sombrero gris que intentan descubrir debilidades Descubren
Vulnerabilidad ataques y los reportan a proveedores, a veces por premios o recompensas.
Estos son hackers de sombrero gris que protestan públicamente contra organizaciones o
Hacktivistas gobiernos mediante la publicación de artículos, videos, fugas sensibles información y realizar
ataques a la red.
Delincuentes Estos son hackers de sombrero negro que trabajan por cuenta propia o trabajan para grandes
cibernéticos organizaciones de cibercriminales.
Estos son hackers de sombrero blanco o de sombrero negro que roban al gobierno secretos,
Patrocinados por el recopilar inteligencia y sabotear redes. Sus objetivos son los gobiernos, los grupos terroristas y
estado las corporaciones extranjeras. La mayoría de los países del mundo participan en algún tipo de
hacking patrocinado por el estado hackear.
3.2.3
Delincuentes Cibernéticos
Se calcula que, en todo el mundo, los cibercriminales roban miles de millones de dólares de
los consumidores y las empresas cada año. Los cibercriminales operan en una economía
clandestina donde compran, venden e intercambian grupos de herramientas de ataque, código
de explotación de día cero, servicios de botnet, troyanos bancarios, registradores de teclas y
mucho más. También compran y venden la información privada y la propiedad intelectual que
roban de sus víctimas. Los cibercriminales apuntan a pequeñas empresas y consumidores,
así como a grandes empresas e industrias.
3.2.4
Hacktivistas
Dos ejemplos de grupos activistas hackers son Anónimo y el Ejército Electrónico Sirio. Aunque
la mayoría de los grupos activistas hackers no están bien organizados, pueden causar
problemas importantes para los gobiernos y las empresas. Los activistas hackers tienden a
confiar en herramientas bastante básicas y de libre acceso.
3.2.5
Los piratas informáticos patrocinados por el estado crean un código de ataque avanzado y
personalizado, a menudo utilizando vulnerabilidades de software previamente no descubiertas
llamadas vulnerabilidades de día cero. Un ejemplo de un ataque patrocinado por el estado
involucró el malware de Stuxnet diseñado para dañar la planta de enriquecimiento nuclear de
Irán.
Para explotar una vulnerabilidad, un actor de amenazas debe tener una técnica o herramienta.
Con los años, las herramientas de ataque se han vuelto más sofisticadas y altamente
automatizadas. Estas nuevas herramientas requieren menos conocimiento técnico para su
implementación.
En la figura, arrastre el círculo por la línea de tiempo para ver la relación entre la sofisticación
de las herramientas de ataque y el conocimiento técnico necesario para utilizarlas.
muestra una barra con sofisticación de ataque a la izquierda y una barra con conocimientos
técnicos a la derecha. En 1985, los ataques no eran muy sofisticados y requerían muchos
conocimientos técnicos. Con el paso del tiempo, la sofisticación del ataque creció y el
conocimiento técnico requerido disminuyó.
Sofisticación de las herramientas de ataque frente al
conocimiento técnico
Alto
Medio
Bajo
Conocimiento técnico
3.3.3
El hacker ético involucra a muchos tipos diferentes de herramientas para probar y mantener la
seguridad de la red y sus datos. Para validar la seguridad de una red y sus sistemas, se han
desarrollado muchas herramientas de prueba para la penetración de red. Es lamentable que
los hackers de sombrero negro puedan utilizar muchas de estas herramientas para su
explotación.
Los hackers de sombrero negro también han creado muchas herramientas de piratería. Estas
herramientas están escritas explícitamente con motivos maliciosos. Los hackers de sombrero
blanco también deben saber cómo usar estas herramientas al realizar pruebas de penetración
de red.
Leyenda de la tabla
Esto es cuando un
actor de amenaza
captura “escucha” a
Ataque de intercepción pasiva
tráfico de red. Este
(eavesdropping)
ataque también se
conoce como sniffing
o snooping.
empresarial, pueden
alterar los datos en
el paquete sin el
conocimiento del
remitente o receptor.
Un actor de
amenaza construye
un paquete IP que
Ataque de suplantación de
parece originarse de
dirección IP
un dirección válida
dentro de la intranet
corporativa.
Si los actores de
amenazas
descubren una
cuenta de usuario
válida, los actores de
amenazas tienen los
mismos derechos
que el usuario real.
Los actores de
amenazas podrían
Ataques Basados en Contraseñas usar como válida la
cuenta para obtener
listas de otros
usuarios,
información de red,
cambio de
configuraciones de
servidores y redes, y
modificar,
redireccionar o
eliminar datos.
Si un actor de
amenaza obtiene
una clave secreta,
esa clave se conoce
como clave en
riesgo. Se puede
usar una clave
Ataque de Claves Comprometidas
comprometida para
obtener acceso a un
comunicación segura
sin que el remitente
o el receptor sean
conscientes del
ataque.
monitorear y
capturar
intercambios de
datos de red y leer
paquetes de red. Si
los paquetes no
están cifrados, un
analizador de
protocolos permite
ver por completo los
datos que están
dentro del paquete
Vulnerabilidades y Amenazas de IP
3.6.1
Hay incluso más tipos de ataques que los discutidos en los temas anteriores. Algunos atacan
específicamente las vulnerabilidades de IP, como aprenderá en este tema.
IPv4 e IPv6
El protocolo IP no hace ningún esfuerzo para validar si la dirección IP de origen que figura en
un paquete realmente proviene de ese origen. Por eso, los agentes de amenaza pueden
enviar paquetes con una dirección IP de origen falsa. Además, los agentes de amenaza
pueden alterar los demás campos del encabezado de IP para llevar a cabo sus ataques. Los
analistas de seguridad deben comprender los diferentes campos en los encabezados IPv4 e
IPv6.
Leyenda de la tabla
utilizan
paquetes de
eco (pings) del
protocolo de
mensajería de
control de
Internet
(ICMP) para
detectar
subredes y
hosts en una
red protegida
y, luego,
generar
ataques de
saturación de
DoS y
modificar las
tablas de
routing de los
hosts.
Ataques de
DoS: los
agentes de
amenaza
intentan
Ataques de reflejo y amplificación impedir que
usuarios
legítimos
tengan acceso
a información
o servicios.
realizar
suplantación
blind o non-
blind.
Los agentes
de amenaza
se posicionan
entre un
origen y un
destino para
monitorear,
obtener y
controlar la
comunicación
de manera
transparente.
Ataques man-in-the-middle (MITM) Simplemente
pueden
escuchar en
silencio
mediante la
inspección de
paquetes
capturados o
modificar
paquetes y
reenviarlos a
su destino
original.
Los agentes
de amenaza
obtienen
acceso a la
red física y,
Secuestros de sesiones
luego, usan un
ataque de
MITM para
secuestrar
una sesión.
3.6.3
Ataques ICMP
Los agentes de amenaza utilizan el ICMP para los ataques de reconocimiento y análisis. Esto
les permite iniciar ataques de recopilación de información para conocer la disposición de una
topología de red, detectar qué hosts están activos (dentro del alcance), identificar el sistema
operativo del host (identificación del SO) y determinar el estado de un firewall. Los actores de
amenazas también usan ICMP para ataques DoS.
Nota: ICMP para IPv4 (ICMPv4) e ICMP para IPv6 (ICMPv6) son susceptibles a ataques
similares.
Las redes deben tener filtros estrictos de lista de control de acceso (ACL) en el perímetro de la
red para evitar sondeos de ICMP desde Internet. Los analistas de seguridad deben ser
capaces de detectar ataques relacionados con ICMP observando el tráfico capturado y los
archivos de registro. En el caso de redes grandes, los dispositivos de seguridad (como
firewalls y sistemas de detección de intrusiones o IDS) deben detectar este tipo de ataques y
generar alertas para los analistas de seguridad.
Los mensajes comunes de ICMP de interés para los actores de amenazas se enumeran en la
tabla.
Haga clic en el botón play de la figura para visualizar el video sobre ataques de amplificación,
reflexión y suplantación (spoofing).
Play Video
3.6.5
Los agentes de amenaza suelen usar técnicas de amplificación y reflejo para crear ataques de
DoS. En la figura, se ejemplifica cómo se utiliza una técnica de amplificación y reflejo llamada
“ataque Smurf” para abrumar un host objetivo:
12
AtacanteSolicitud de echo ICMP (origen: IP de la víctima)VíctimaRespuestas de echo ICMP (destino: IP de la
víctima)
Los actores de amenazas también usan ataques de agotamiento de recursos. Estos ataques
consumen los recursos de un host objetivo para bloquearlo o consumir los recursos de una
red.
Los ataques de suplantación de dirección MAC se utilizan cuando los agentes de amenaza
tienen acceso a la red interna. Los agentes de amenaza cambian la dirección MAC de su host
para que coincida con otra dirección MAC conocida de un host de destino, como se ve en la
Figura 1. Luego, el host atacante envía una trama a través de la red con la dirección MAC
recién configurada. Cuando el switch recibe la trama, examina la dirección MAC de origen.
Un servidor y un atacante están conectados al mismo switch. El servidor tiene una dirección
MAC: AABBCC y está conectado al puerto 1. El atacante está conectado al puerto 2 y tiene
una dirección MAC suplantada: AABBCC. Un globo del atacante dice: He cambiado la
dirección MAC en mi computadora para que coincida con el servidor. Un diagrama encima del
switch indica que ha asignado AABBCC al puerto 1. El puerto 2 no tiene una asignación.
El switch sobrescribe la entrada actual en la tabla CAM y asigna la dirección MAC al puerto
nuevo, como se ve en la Figura 2. Luego, reenvía las tramas destinadas al host de destino al
host atacante.
Un servidor y un atacante están conectados al mismo switch. El servidor tiene una dirección
MAC: AABBCC y está conectado al puerto 1. El atacante está conectado al puerto 2 y tiene
una dirección MAC suplantada: AABBCC. Se lee una llamada debajo del switch: el dispositivo
con la dirección MAC AABBCC se ha movido al Puerto 2. Por lo tanto, debo ajustar mi tabla de
direcciones MAC. Un diagrama sobre el switch indica que ha asignado AABBCC al puerto 2. El
puerto 1 no tiene una asignación.
Servicios IP
3.8.1
Vulnerabilidades de ARP
Anteriormente en este módulo aprendió sobre vulnerabilidades con IP, TCP y UDP. El conjunto
de protocolos TCP / IP nunca se creó para la seguridad. Por lo tanto, los servicios que utiliza
IP para direccionar funciones como ARP, DNS y DHCP tampoco son seguros, como aprenderá
en este tema.
Los hosts transmiten una solicitud de ARP a otros hosts del segmento para determinar la
dirección MAC de un host con una dirección IP específica. Todos los hosts de la subred
reciben y procesan la solicitud de ARP. El host con la dirección IP que coincide con la de la
solicitud de ARP envía una respuesta de ARP.
En la figura, haga clic en el botón Reproducir para ver el proceso de ARP en funcionamiento.
El Proceso ARP
Debo enviar una solicitud de ARP para descubrir la dirección MAC del host con la dirección IP 192.168.1.7.
No soy yo.
No soy yo.
Gracias. La recibí.
Cualquier cliente puede enviar una respuesta de ARP no solicitada llamada “ARP gratuito”.
Esto suele hacerse cuando un dispositivo se inicia por primera vez para informar a todos los
demás dispositivos de la red local sobre la nueva dirección MAC del dispositivo. Cuando un
host envía un ARP gratuito, otros hosts en la subred almacenan en sus tablas de ARP la
dirección MAC y la dirección IP que contiene dicho ARP.
Esta característica de ARP también significa que cualquier host puede reclamar ser el
propietario de cualquier IP o MAC. Un agente de amenaza puede envenenar la caché de ARP
de los dispositivos en la red local y crear un ataque de MITM para redireccionar el tráfico. El
objetivo es atacar un host y cambiar su gateway predeterminado por el del dispositivo del
agente de amenaza. Esto posiciona al agente de amenaza entre la víctima y todos los demás
sistemas fuera de la subred local.
Ataques DNS
La protección de DNS suele pasarse por alto. Sin embargo, es fundamental para el
funcionamiento de una red y debe protegerse correctamente.
Muchas organizaciones utilizan los servicios de los servidores DNS públicos abiertos, como
GoogleDNS (8.8.8.8), para responder las consultas. Este tipo de servidor DNS se denomina
resolución abierta. Una resolución de DNS abierta responde las consultas de clientes fuera de
su dominio administrativo. DNS open resolvers are vulnerable to multiple malicious activities
described in the table.
Leyenda de la tabla
Vulnerabilidades de Resolución
Descripción
de DNS
Vulnerabilidades de Resolución
Descripción
de DNS
Vulnerabilidades de Resolución
Descripción
de DNS
Para ocultar su identidad, los agentes de amenaza también utilizan las siguientes técnicas de
DNS sigilosas para llevar a cabo sus ataques:
Leyenda de la tabla