Tarea 3 - Estudio de servicios, ataques y procesos

Wilson Ferney Pardo Rico

Cod. 1013584029

Universidad Nacional Abierta y a Distancia

Fundamentos y Modelos de Seguridad Informática
Bogotá
2022
Tarea 3 - Estudio de servicios, ataques y procesos

Wilson Ferney Pardo Rico

Cod. 1013584029

Tarea 3
Grupo: 219018_14

Ing. John Freddy Quintero

Director

Universidad Nacional Abierta y a Distancia

Fundamentos y Modelos de Seguridad Informática
Bogotá
2022
  INTRODUCCIÓN

En el presente documento se explican los diferentes procesos de ciberseguridad

mediante la descripción de conceptos básicos dirigidos a la seguridad informática

Con ayuda de la indagación en el tema se evidencia que los ataques son mucho
más recurrentes de lo que pensamos, por esto se explican los procesos y
herramientas bajo la retroalimentación de diferentes ataques ocurridos,

Como futuro especialista se cuenta con la capacidad de realiza la

argumentación y conceptos básicos orientados a CSIRT, ataques informáticos y
herramientas de seguridad informática
1. Describir por lo menos cuatro ataques tipo APT “Advanced Persistent
Threat” que se hayan dado en el transcurso de 2019 a nivel mundial.

APT: Son ataques cibernéticos los cuales se basan en realizar técnicas de pirateo
continuas que les permitan a los atacantes recolectar la mayor información posible
manteniéndose infiltrados durante periodos de tiempo prolongados sin levantar
ninguna sospecha, de esta forma realizar un daño potencialmente alto cuando
decidan hacerlo, sus mayores objetivos siempre serán aquellos con los que logren
ganar un valor bastante alto como entidades del gobierno o grandes empresas
reconocidas, aunque también interceptan entidades o empresas medianas y
pequeñas con un fin muy planeado, lo que les permite por medio de éstas llegan a
su objetivo utilizándolas como puente a la información de su objetivo. 1
en el año 2019 se han presentado muchos ataques APT entre esos:

 Operación ShadowHammer:

[enero 2019] Ataque a la cadena de suministro relacionado con ASUS live

Update Utility, este consistió en un ataque entre junio y noviembre del año
anterior en el cual su investigación halló un troyano en los paquetes de
participación de un gran número de usuarios, Para lograr su cometido, los
atacantes realizaron la codificación de listas de direcciones MAC en las
muestras troyanizadas, una vez el troyano insertado fue usado para
localizar e identificar los mejores objetivos para una afectación masiva. 2

 Troyano basado en COMPFun:

[noviembre 2019] Ataque a embajadas y consulados vía visados falsos, las
tecnologías de Kaspersky identificaron diferentes acciones contra cuerpos
diplomáticos en Europa, la cual se basó en una solicitud de aviso falsa la
cual efectuó la propagación del programa maligno.
en las investigaciones se logró ver que dicho software espía maneja la
misma base que COMPFun.3

 [enero 2019] Alemania sufre el más grande ‘hackeo’ en su historia.

1
Karspersky [en línea] recuperado el 04-05-2022 en
https://www.kaspersky.es/resource-center/definitions/advanced-persistent-threats
2
SECURELIST KARSPERSKY Operación ShadowHammer 25 de marzo 2019 [en línea] recuperado el 04-05-22
de https://securelist.com/operation-shadowhammer/89992/
3
TECHWEEK.ESUn troyano basado en COMPFun ataca a embajadas y consulados vía visados falsos 22 mayo
2020 [redacción en línea] recuperado el 09-05-2022
http://www.techweek.es/seguridad/noticias/1020192004801/troyano-basado-compfun-ataca-instituciones-
diplomaticas-vembajadas-consulados-isados-falsos-compfun.1.html
 en su país.
el 14 de enero fue reportado un ataque de interceptación de datos
personales de varios políticos, artistas y periodistas en Alemania en los
cuales fueron robados correos, números de teléfono y mucha información
tanto económica, familiar y personal. Al ser publicada parte de ella en una
cuenta de Twitter generó la alerta e investigación, el atacante descubierto
joven de 20 años sin ninguna formación universitaria en temas de
informática o ciberseguridad y su actuación declara ser individual y
personal.4

 TajMahal
[abril 2019] se informa de la existencia de un marco de software espía
altamente sofisticado denominado TajMahal funcionando durante más de 5
años, fue descubierto cuando los piratas informáticos lo usaron para espiar
las computadoras de una organización diplomática perteneciente a un país
de Asia Central cuya nacionalidad y ubicación no han sido reveladas.
Sin embargo, las muestras de malware examinadas por los investigadores
sugieren que el grupo de ciberespionaje detrás del ataque ha estado activo
al menos desde agosto de 2014.5

El marco TajMahal consta de dos paquetes principales: “Tokio” y

“Yokohama”, que en conjunto contienen más de 80 módulos maliciosos
distintos. que, según los investigadores, es uno de los números más altos
de complementos jamás vistos para un conjunto de herramientas APT.

2. Describir cómo podría llevar a cabo un ataque a un sistema informático y cómo

debería protegerse la organización contra este ataque. Dentro de los ataques que se
deben trabajar usted debe seleccionar tres ataques; los ataques disponibles son los
siguientes:

APT:

La mayor parte de ataques APT inicia con la no atención de las vulnerabilidades

menores la cual se usa como puerta de ingreso del atacante, una vez allí se inicia el
largo y lento camino para capturar la mayor cantidad de información y accesos al
servidor, sin levantar sospechas una vez con accesos se insertan backdoors de tipo
Troyano para garantizar su acceso permanente sin importar que los usuarios cambien
sus credenciales.

4
MULLER ENRRIQUE 04 enero 2019 Alemania sufre el mayor ‘hackeo’ de su historia con la filtración de datos
personales de centenares de políticos. [en línea] Recuperado el 04 05 2019 en
https://elpais.com/internacional/2019/01/04/actualidad/1546595085_679572.html
5
ITCONNECT 11 abril 2019 TajMahal un poderoso APT altamente sofisticado [en línea] recuperado el
https://itconnect.lat/portal/2019/04/11/tajmahal-2019/
cómo protegerse:

- Es muy importante que se tengan muy vigilados los flujos de datos los cuales se
transfieren entre servidores, a clientes o usuarios desconocidos.
- Mantener vigilados los altos inicios de sesión y mucho más en horarios fuera de lo
normal.
- Enseñar a nuestros trabajadores a identificar correos maliciosos o de remitentes
desconocidos y antes de abrirlo informar al área responsable para su verificación.

Smishing:

Este tipo de ataque inicia con el envío de un mensaje de texto lo cual se hace pasar
por entidades bancarias o de servicios, con lo cual se le solicita atender de inmediato
para no incurrir en multas o perdidas del servicio, de esta manera comienza a lanzar
la captura de información entregada por el usuario.
Estos mensajes de texto son enviados masivamente y siempre habrá muchas
personas con afán o muy distraídas que caiga en el engaño entregando esta
información.
de igual manera se puede camuflar un malware en las diferentes aplicaciones
haciendo creer al usuario que es la aplicación legitima engañando para que se ingrese
la información confidencial.

Como protegerse:

La verdad protegerse de este ataque es muy fácil ya que si no hacemos nada ya

estamos protegidos ya que este ataque solo puede ser activado por nuestra propia
acción, el no responder a mensajes o abrir enlaces llegados por este mismo medio
nos mantendrá seguros.
- Ninguna entidad financiera enviará solicitudes por mensajes de texto para actualizar
la información.
- Nunca ingreses a cupones u ofertas de los cuales no tengas la información real.
- No guardar la información de claves o cuentas bancarias en tu celular.
- No responda ningún mensaje.

Vishing:

Estos ataques se efectúan por medio de llamadas telefónicas en las cuales el

delincuente se hace pasar por personal de una entidad bancaria o un tercero, con el
objetivo de informarle productos o servicio adquiridos en los cuales durante la
conversación le va solicitando datos sensibles o privados a la víctima.

esta modalidad se ha efectuado desde hace muchos años y aún sigue siendo efectiva
sobre las personas, después de esta llamada se le envía a la víctima un mensaje del
cual se le informa un servicio adquirido y si no responde NO éste será cargado a la
facturación, cuando se responde el mensaje sigue la fachada del delincuente
llamando por parte de la operadora de la entidad la cual le confirma que será enviado
un enlace para que cancele el servicio en el cual le solicita ingresar la información
cotidiana adicional el número de tarjeta de crédito y numero de verificación.

Como protegerse:

Para esto hay que tener unas recomendaciones sencillas.

- Nunca responder mensajes sospechosos o que no se sepan de quien vienen.

- No ingresar contraseñas bancarias en cualquier sitio  web menos si este llego por
correo o mensaje.
- Nunca proporcionar datos confidenciales.

3. Describa y genere ejemplos sobre el concepto de IoC´s “Indicadores de

Compromiso”, ¿por qué es tan importante este concepto en el campo de acción de la
seguridad informática?
los IoC´s es un resumen de las actividades observadas las cuales son
configuradas como alertas o maliciosas, éstas pueden ser inicios de sesión
fallidos, inicios de sesión desde otras direcciones, descargas masivas desde el
servidor, uso de memorias externas, comportamientos inusuales, páginas web
sospechosas, direcciones IP, entre otras.
Todo lo anterior basándonos en que para poder ser efectivo un malware tiene que
realizar varias tareas en el sistema, lo cual es difícil que teniendo estas variables
vigiladas no sean detectados estos cambios que nos pueden alertar de un posible
intruso en una etapa temprana, se pueden configurar también la instalación y
eliminación de programas, cambios en los registros de registro y archivos nuevos.
los indicadores de compromiso ayudan de gran manera a las entidades que se
dedican al tema de la ciberseguridad ya que les permite seguirles el rastro a los
movimientos sospechosos o acciones que realizan los atacantes, adicional al
momento de desarrollar los planes de contingencia, rechazo e identificación de
cualquier ataque por sus mismas características de operación. 6

6
CRONUP, La importancia de los Indicadores de Compromiso (IOC) en la Ciberseguridad 27 agosto 2020 [en
línea] recuperado el 06-05-2022 https://www.cronup.com/la-importancia-de-los-indicadores-de-
compromiso-ioc-en-la-ciberseguridad/
4. Definir los diversos procesos de auditoría como: Auditoría caja negra, auditoría caja
blanca, auditoría caja gris; anexo a las definiciones debe generar un ejemplo para
cada tipo de auditoría.

Las auditorias o análisis de vulnerabilidades se basa en realizar ciertas pruebas al

entorno informático con pruebas directamente al sistema de ciberseguridad y siempre
su objetivo será el verificar y evidenciar cualquier vulnerabilidad que se deba tener en
cuenta.
Otro objetivo es el de poner en prueba los sistemas de ciberseguridad implementados
y su capacidad de respuesta antes cualquier materialización de ataque.

según su información proporcionada se clasifican en: 7

Pruebas de caja blanca

En este tipo de prueba no se permite información disponible ni accesos a los sistemas

de la entidad previos. el proceso de análisis y acción debe comenzar desde cero
como tareas posibles es buscar las formas de lograr la intrusión en el objetivo. En este
caso el ciberataque en de forma externa contra una organización sin ninguna
información.

Pruebas de caja gris

El propósito de esta prueba es la de realizar simulaciones de ataques desde dentro de

la organización el cual dicho usuario tiene ciertos accesos privilegiados limitados.
Estas pruebas inician con el usuario con accesos limitados y desde dentro de la red
malintencionados (“insider threats”) o casos en los que una credencial de acceso ha
sido vulnerada.

Pruebas de caja negra

En este tipo de pruebas, el auditor tiene total conocimiento, de toda la infraestructura

IT, desde antes del inicio.
Bajo esta evaluación es posible simular un ataque desde fuera de la organización y
encontrar las vulnerabilidades del ataque.
los auditores recopilan toda la información entregada y efectúan verificación en las
vulnerabilidades como objetivo.

5. ¿Qué es un IDS? ¿Qué función tiene un IDS? Mencione un IDS free, no olviden
mencionar las plataformas sobre las cuales trabajan estos IDS al igual que sus
características técnicas.

Un IDS cumple con las funciones de detección de los intrusos bajo la detección de
acciones inapropiadas o inusuales, desde dentro y fuera de la organización, todo esto

7
CECUORA Tipos de auditoría en ciberseguridad junio 2020 [en línea] recuperado el 10-05-2022 en
https://secuora.es/blog/tipos-de-auditoria-de-ciberseguridad/
basados en la filosofía de que los atacantes tienen un comportamiento diferente a los
usuarios correctos, cuando estos detectan cualquier situación sospechosa emiten una
alerta a sus administradores los cuales deben evaluar e investigar para tomar
acciones según aplique estas alarmas son solo de aviso ya que no realizan ninguna
mitigación.8

Funcionamiento:
la función se centra en realizar un análisis detallado del tráfico de red para evaluar
situaciones que estén comprometiendo el sistema, esta se compara con los
resultados de los análisis del historial de ataques buscando similitudes que permiten
asumir comportamientos sospechosos.

Snort free:

Es un sistema que permite detectar intrusos en la red sin costo para los usuarios,
permitiendo dejar documentado como base de datos el tráfico analizado.

6. En las técnicas de auditoría de caja negra Qué función tendría el programa Nmap?
¿Qué resultados se obtiene al hacer uso de esta aplicación? Mencione los comandos
principales y básicos para nmap; deben describir que comando se puede utilizar en
nmap para hacer uso de los scripts programados para análisis de vulnerabilidades ya
que es un tema avanzado.
Nmap, o mapeador de redes es una herramienta de exploración de código abierto
con el cual se realiza un sondeo de seguridad utilizado para verificar desde redes
pequeñas hasta redes muy complejas, no solo se utiliza en auditorias sino también
por los administradores de red y sistemas.
Éste, utiliza una tabla de puertos interesantes y adicional a esto una lista de
objetivos, Nmap entrega mucha información sobre los objetivos y el nombre de
DNS según la RI de la IP, entrega un listado de los sistemas operativos, tipos de
dispositivo, y direcciones MAC.9
el Nmap nos permite obtener información de que servidores se encuentran
conectados como computadores, servidores, router, switches o dispositivos loT, al
igual de si son locales y cuales se operan o que actividad están realizando estos
equipos en el sistema.
Ejemplo de análisis con Nmap típico:

8
INCIBE ¿Qué son y para qué sirven los SIEM, IDS e IPS? 03-09-2020 [en línea] recuperado el 9-05-2022 en
https://www.incibe.es/protege-tu-empresa/blog/son-y-sirven-los-siem-ids-e-ips#:~:text=IDS%20(Intrusion
%20Detection%20System)%20o,de%20firmas%20de%20ataque%20conocidas.
9
https://nmap.org/man/es/index.html
Imagen 1: Recuperada en https://nmap.org/man/es/index.html

7. Mencionar por lo menos 4 herramientas incorporadas en el sistema operativo Kali

Linux, de tal manera, que pueda construir grupos para identificarlas, ejemplo: Kali
Linux contiene un grupo de herramientas destinadas al análisis de vulnerabilidades en
páginas web dentro de las que encontramos: Beef, Nikto, posteriormente definen la
función de cada herramienta, ejemplo: Nikto funciona para X, o Y; Beef funciona para
Y o Z.

Kali Linux es una de las aplicaciones más completa para la detección y verificación de
seguridad en las redes aportando grandes aplicaciones, capacidades y herramientas,
diseñada para ejecutarse desde cualquier unidad del computador.

Linux organiza los usuarios basándose en grupos los cuales son cuentas de usuarios
que comparten mismos permisos, al crear un usuario se le asignara de igual forma un
grupo.

En el Kali Linux10 encontramos una variedad de herramientas (figura 1) de las cuales

nombraremos las más relevantes:

10
SUKACHOFF 23 dic 2020 [en línea] recuperado el 10-05-2022 en
https://sukachoff.ru/es/ustrojjstva/luchshie-instrumenty-kali-linux-kali-linux-podrobnyi-obzor-distributiva-
opisanie-vseh-utilit-kali-li/
 Figura 1: descripción general de Linux https://sukachoff.ru/es/ustrojjstva/luchshie-instrumenty-kali-linux-kali-
linux-podrobnyi-obzor-distributiva-opisanie-vseh-utilit-kali-li/

Recopilación de información: se recopila información sobre la infraestructura

objetivo al combinar programas y de esta manera es posible determinar con precisión
que servicios interactúan en la red.

Análisis de vulnerabilidad: ayuda a verificar y encontrar las vulnerabilidades al

dividirse en varios grupos, como Cisco tool, evaluación de base de datos, H de Fuzz,
entre otras.

Aplicaciones WEB: Recopila un conjunto de programas que traba con aplicaciones

web.

Ataques inalámbricos: en esta ofrece herramientas para ataques de este tipo.

8. ¿Qué es Pentesting? Describa y mencione los pasos para ejecutar un pentesting
adecuado.

Como se manifiesta,11 Esta práctica se basa en realizar ataques contra los sistemas
de una empresa para detectar sus agujeros de seguridad, invadir los sistemas
demostrando como los atacantes pueden conseguir su cometido de igual manera
mostrando los daños que llegarían a ocasionar.
muestra no solo las vulnerabilidades sino se infiltra mostrándole a los directivos el
daño real que se podría presentar y las pérdidas económicas que se acarrearían, si
no realizan lo necesario para reparar las vulnerabilidades encontradas.

existen 3 tipos de Pentesting que son:

Caja Blanca: en el más completo en este el auditor conoce todos los datos sobre el
sistema, estructura, contraseñas, IPs y firewalls.

Caja Negra: Este es el considerado de mayor "Realidad" ya que el auditor no tiene

ningún dato sobre la entidad y actúa como si fuera un ciberdelincuente normal.

11
FIGUEIRAS SANTIAGO 23 agosto 2021 ¿que es el Pentesting? [en línea] recuperado el 11-05-2022 en
https://www.ceupe.mx/blog/que-es-el-pentesting.html
Caja Gris: Este se considera como la unión de los dos anteriores ya que el auditor
posee información básica y mínima para ejecutar su ciberataque y es el más
recomendado para ejecutar.

Fases del Pentesting:

Reconocimiento: Esta fase es utilizada en cualquier prueba de intrusión ya que en

esta etapa se recolecta toda la información posible para ayudarse a efectuar su
ataque.

Escaneo: Esta fase es la más importante para valorar la información que fue
recolectada en la etapa anterior verificando si esta posee o no vulnerabilidad asociada
que les de indicios de lo fácil o difícil que será su ataque.

Explotación: En esta fase se debe poner gran atención ya que es el momento en el

que se verifica y confirma si es o no posible la penetración y actuar sobre las
vulnerabilidades.

Mantenimiento de acceso: Esta dependerá de la anterior; ya que solo se inicia si se

logra conseguir una vulnerabilidad, se inicia un nuevo objetivo lateral el cual consiste
en poder guardar la información encontrada, para utilizarla previamente y el otro
objetivo que inicia consiste en crear una puerta trasera para poder acceder en el
futuro.

Borrado rastro: Por último, está dependerá de lo logrado en las etapas anteriores y
efectividad del ataque; consiste en borrar todo rastro que pueda poner en descubierto
el acceso no autorizado.

9. Definir con sus palabras qué es un exploit?, ¿qué utilidad tiene en el mundo de la
seguridad informática? y qué componentes conforman el exploit?
Los exploits se basan en secuencias de códigos o programas los cuales aprovechan
toda vulnerabilidad de las aplicaciones de un software también diseñado para atacar
una debilidad específica para provocar daños imprevistos.
La utilidad, es aprovechada por los ciberdelincuentes iniciando un ataque al momento
en que un usuario ingresa a una página web no segura, demostrando múltiples
vulnerabilidades e inicia un escaneo al dispositivo y evidencia las vulnerabilidades e
intenta ingresar de varias formas atacando por su código lanzará su ataque a una o
varias vulnerabilidades específicas.12
Sus componentes son dos principales, código exploit el cual es el más utilizado hoy
en día por los desarrolladores de juegos y piratería y código shell

12
LATTO NICA septiembre 29 del 2020 ¿que son los exploits? [en línea] recuperado el 10-05-2022 en
https://www.avast.com/es-es/c-exploits#topic-4
10. Teniendo en cuenta el anexo 3 usted como experto en seguridad y al analizar el
ataque que sufrió UNADHACK genere una serie de recomendaciones para poder
mitigar y reducir este tipo de ataque informático.

fuente de:13 Como primera recomendación es la de concientizar por medio de

campañas y políticas a todo el personal docente y alumnado de la importancia de no
abrir URLs desconocidas y que hayan llegado por medio de un mensaje de texto,

si recibe correos electrónicos que le piden información personal o financiera no lo

responda y cuando es por medio de un mensaje de texto que se le solicita ingresar a
un sitio web,

Nunca enviar información personal usando mensajes de correo electrónico y si está

en un sitio web que le solicita información, realizar una identificación a través del sitio.

no descargue ni abra archivos de fuentes no confiables ya que pueden tener virus que
debilitar y permitir a los atacantes ingresar a nuestro sistema.

11. Definir con sus palabras qué es un CSIRT, alcance y tipos de CSIRT´s; además
debe identificar los CSIRT´s “Computer Security Incident Response Team”
establecidos en Colombia mencionando si es sectorial o privado para posteriormente
describir el objetivo de cada uno.

El CSIRT está conformado por un equipo de expertos desarrolladores de medidas

preventivas y reactivas en cuanto a los problemas de seguridad, estos se encargan de
recibir vigilar y responder todo lo relacionado con estos incidentes de seguridad ya
sea entidad legal una región, país o servicio de pago a clientes entre otros.

13
Universidad Nacional de La Planta [en línea] https://www.econo.unlp.edu.ar/detise/phishing-3923
Su alcance, se centra en prestar el servicio desde un punto de vista proactivo y
gestionar incidentes de seguridad en la red junto a sus vulnerabilidades evidenciadas.

Los tipos de CSIRT14, se clasifican de acuerdo con su ámbito de acción y al público al

cual van a atender, estos son:

CSIRT del sector académico.

CSIRT comercial.
CSIRT del sector de la protección de la información vital y de la infraestructura vital
(CIP/CIIP).
CSIRT del sector público.
CSIRT interno.
CSIRT del sector militar.
CSIRT nacional.
CSIRT de la pequeña y mediana empresa (PYME).
CSIRT de soporte.

12. Debe realizar un vídeo para explicar y sustentar cada uno de los puntos
asignados, este vídeo debe ser publicado en youtube, además que no se acepta
música de fondo y el estudiante deberá salir en el vídeo y su voz es fundamental para
la explicación, las URL’s de los vídeos deben ser anexadas al documento
consolidado. Mínimo 8 minutos, máximo 15 minutos.

link del video de sustentación

https://youtu.be/hKqqhHiKSSg

14
MARTINEZ GRACIELA Introducción a la creación de un CSIRT [en línea] recuperado el 11-05-2022
https://onthemove.lacnic.net/wp-content/uploads/2020/08/lotm_csirt-amparo.pdf