UA 1: Debilidades, amenazas y ataques

UA Unidad de aprendizaje
Debilidades, amenazas y ataques
1

Objetivos

Aprender conceptos y procedimientos generales relacionados con

aquellos agentes externos que amenazan la seguridad informática de
una empresa.
Tomar conciencia de por qué es tan importante la seguridad informática en una empresa.
Entender por qué ocurren los ataques a sistemas informáticos.
Aprender en qué consiste un ataque informático y las fases por las que pasa.
Conocer las técnicas actuales más importantes que utilizan los atacantes sobre los sistemas
informáticos.
Ser capaces de diferenciar qué comportamientos pueden aumentar el riesgo de amenazas y cuáles
no.

Mapa conceptual o esquema de contenidos

1 Tipos de atacantes

2 Motivaciones del atacante

3 Metodología de un atacante determinado

3.1 Fase de descubrimiento y exploración en el sistema
3.2 Fase de búsqueda de vulnerabilidades en el sistema
3.3 Fase de explotación de las vulnerabilidades detectadas
3.4 Fase de corrupción o compromiso del sistema
3.5 Fase de eliminación de las pruebas

4 Vulnerabilidades y ataques comunes

5 Herramientas de hacking
5.1 Categoría de los exploit
 6 Ingeniería social

7 Prevención de ataques

8 Respuesta a contingencias

Introducción
Desde siempre ha existido un elemento imprescindible y de máxima importancia en toda empresa,
independientemente de su modelo de negocio, estructura o elementos activos y/o pasivos que la constituyan.
Ese elemento ha sido, es y será la información.

La tecnología de la información surge como una herramienta esencial para lograr que todo ese conocimiento
esté bien organizado y su análisis pueda garantizar un rendimiento óptimo de los modelos de negocios.

Antiguamente, esa información solo estaba accesible por un pequeño número de empleados de la empresa o
socios, pero desde la entrada en la era de la información y la globalización del mundo la información se ha
convertido en un tesoro que se ve amenazado constantemente por agentes externos.

Para el desarrollo de nuestro curso nos vamos a centrar en el caso de Sergio, que se dedica a proporcionar
asesoramiento a empresas para la implantación de sistemas de seguridad informática. Tiene que visitar una
nueva empresa para ayudar a detectar posibles riesgos y aconsejar sobre el uso de políticas de seguridad.
UA 1: Debilidades, amenazas y ataques

1. Tipos de atacantes
 0:00 / 0:25

Hasta la fecha, la nueva cibersociedad ha sido dividida en múltiples áreas o zonas donde socializan personas
afines a sus gustos, inquietudes, enseñanzas, etc.

Los innumerables grupos sociales se apoyan en las nuevas tecnologías para intercambiar todo tipo de
información. Sin embargo, el usuario normal no se percata que a veces, ese flujo de información puede
perjudicarle seriamente. ¿Es el precio que hay que pagar por vivir en una sociedad globalizada?

Todos los grupos sociales “virtuales” unidos en la

red forman la cibersociedad.




 De nición

Cibersociedad

Es el lugar donde existen y se producen las comunicaciones electrónicas. Un espacio para la nueva
sociedad, que se encuentra estructurado a partir de información que circula de una máquina a otra,
invisible pero absorbente, que busca cubrir en la mayoría de los casos una necesidad humana, ya sea
por el trabajo, la educación, el ocio, las actividades económicas, comerciales o las actividades de la vida
cotidiana.

Por su propia naturaleza, los sistemas de información están sujetos a una amenaza constante y, en la mayoría
de los casos existe una o varias maneras de aprovechar una debilidad de la misma para comprometer la
información que administra.




 De nición

Información

Es un recurso que otorga significado o sentido a la realidad, ya que, mediante códigos y conjuntos de
datos, da origen a los modelos de pensamiento humano.

Sistema de información

Es un conjunto de elementos que se relacionan entre sí para la administración, tratamiento y

organización de la información, la cual se utilizará una vez procesada para cubrir las necesidades de un
individuo, colectivo u organización.
En general, todo sistema informático se apoya en 5 elementos. Cada uno de ellos puede ser amenazado de
alguna forma y, por lo tanto, podemos considerarlos como elementos a debilitar si queremos atacar el sistema.

Pulsa en las diferentes debilidades de un sistema de información para ver algunos posibles problemas que
aparecen.

Hardware
Es la parte física del sistema. Es decir, la máquina donde reside el software: dispositivo de red, cpu, etc.
Como elemento material es susceptible a problemas como desconexión de cables,
sobrecalentamientos o subidas de tensión.

Software
Es la parte lógica del sistema, los programas, el sistema operativo, etc. Puede presentar problemas
como eliminación de servicios, ejecución errónea, inestabilidad por baja memoria.

Datos
Es toda la información que maneja el sistema y que nos dice algo al ser humano. Problemas como
alteración de contenidos, introducción de datos falsos o manipulación fraudulenta de datos que les
afectan.

Usuarios
Los usuarios son el elemento activo e interactivo. Es el que configura y programa el sistema. Pueden
ocurrir incidentes como la suplantación de identidad, el acceso no autorizado o la visualización de
datos confidenciales.

Memoria
Con respecto a la memoria. Es el elemento lógico que usa el sistema operativo para manejar la
información de forma interna: procesos y datos. Como problemas puede aparecer virus que se cargan,
mal uso de la gestión de memoria, bloqueo del sistema.



 Nota

Hardware, software y datos son los tres pilares más importantes y juntos se conocen como el triángulo
de debilidades del sistema, por ser los puntos débiles que más porcentaje se soportan.

Los intereses particulares de los personajes o agentes que utilizan sus recursos para atacar los sistemas de
información han ido evolucionando con el tiempo.

Miembro del grupo anonimous, grupo de hackers

muy conocido en la actualidad por manifestarse en
 acciones de protesta a favor de la libertad de
expresión y de la independencia en la red.

Sin embargo, todos ellos son catalogados como “piratas informáticos” o “piratas de la red”, y vistos como la
nueva generación de “rebeldes” que utilizan sus conocimientos para delinquir. Esta no es la realidad actual,
algunos de estos “rebeldes” utilizan la tecnología, conocimientos y enseñanzas en favor de causas nobles,
mientras que otros lo hacen para destruir o delinquir. Es necesario establecer una categorización más adecuada
para que la gente entienda en quién puede confiar y en quién no.



 Ejemplo

No se puede considerar un acto delictivo cuando un hacker consigue entrar en un sistema, cuya
motivación es simplemente el reto de conseguirlo o encontrar una vulnerabilidad en el sistema para
informar de ello a sus creadores. Mientras que sí es considerado un acto delictivo el hecho de acceder al
sistema y robar las contraseñas de cuentas de todos sus usuarios.

Entre los integrantes de la nueva cibersociedad que utilizan sus conocimientos sobre las tecnologías para
determinados fines tecnológicos, podemos realizar la siguiente categorización:

Hackers

Crackers

Lamers

Copyhackers

Bucaneros

Phreaker

Creadores de virus

Newbie

Script kiddie

1 Hackers

Los hackers podemos decir que son aquellos individuos con conocimientos muy avanzados
en sistemas cuyo principal y único interés es conocer lo máximo posible de estos. Para ello,
utilizan cualquier técnica que consiga poner en jaque el propio sistema, intentando conocer
todos sus entresijos. Cuando un hacker realiza un ataque sobre un sistema lo hace
únicamente para demostrar que puede acceder a él a través de alguna vulnerabilidad. Para
ellos, es como un reto y, una vez conseguido el acceso, deja de tener importancia. No
dañan el sistema al que acceden ni roban información.
2 Crackers

Los crackers son la primera de las familias de ciberdelicuentes más importante. Es aquel
experto con conocimientos muy avanzados sobre sistemas que, fascinado por su capacidad
de romper sistemas y software, se dedica única y exclusivamente a romper las restricciones
de acceso impuestas por estos para el beneficio propio o de los demás. Es decir, rompen la
protección de un sistema y después lo difunden, normalmente a través de la red para
conocimientos de otros.

3 Lamers

Por lo general, son individuos a los que les gusta el mundo del hacking, pero que no llegan
a tener los conocimientos avanzados o suficientes de los primeros. La mayoría de ellos
apenas saben cómo funciona un ordenador, pero se obsesionan por buscar y leer toda la
información de interés para alcanzar su objetivo. Les parece fascinante la idea de acceder a
un sistema remoto y ponen en práctica todo el software de hackeo que encuentran para
ello. Es un grupo muy peligroso porque no saben muy bien lo que hacen.

4 Copyhackers

Son un nuevo grupo que posee conocimientos muy avanzados sobretodo en el hackeo del
hardware, mayoritariamente del sector de tarjetas inteligentes que se usan en los móviles.
Su única preocupación es sacar beneficio económico.

5 Bucaneros

Los bucaneros son un grupo de individuos que buscan simplemente comerciar con
productos de cracking, no tiene escrúpulos a la hora de distribuir el producto de un cracker
a nivel masivo solo con fines económicos. No adquieren conocimientos y no conocen la
tecnología, y por eso, son peores que los lamers.

6 Phreaker

Al igual que los copyhackers, es un grupo que tiene amplios conocimientos en telefonía. Un
phreaker tiene conocimientos muy avanzados sobre los sistemas de telefonía, tanto
terrestres como móviles.

7 Creadores de virus

En este grupo podemos encontrar a dos tipos de individuos: el primero suele ser un
estudiante que han terminado, o están aprendiendo a programar y tiene curiosidad por
probarse a sí mismo, y todo lo que saben. Si resulta un virus aceptable puede llegar a ser
peligroso. El otro grupo son los conocidos como “creadores de virus profesionales”. Es el
más peligroso porque, aparte de estar preparados para su cometido, son capaces de
propagarlos pasando totalmente desapercibidos.

8 Newbie

Se trata básicamente de un individuo que tiene pocos conocimientos informáticos pero que
comienza su camino a convertirse en hacker. Para ello, visita las páginas de hackeo, indaga
y prueba cada herramienta de hacking que se descarga y, a diferencia de los lamers, sigue
los pasos de forma cauta para lograr convertirse en hacker, nunca se mofa de su logro y
está en continuo aprendizaje.
 9 Script kiddie

El script kiddie es un usuario de internet normal y corriente, sin conocimientos sobre

hacking, pero que son devotos de estos temas. No comprenden el hacking y utilizan sus
herramientas sin cuidado. Por lo general, terminan infectando su propio sistema.



 Nota

Debes aprender a distinguir qué tipo de atacante hay detrás de sus acciones, ya que te permitirá prevenir
muchos ataques a tu sistema.



 Actividad de aprendizaje 1

A continuación, realizarás una actividad en la que puedes aprender a clasificar los atacantes.

Nuestro antivirus hace unos días emitió una noti cación de alerta por virus. Tras no darle demasiada
importancia, comenzamos a experimentar inestabilidad en el sistema, con repentinos cuelgues por
errores como falta de cheros. Parece que el virus corrompió el sistema destruyendo cheros, algunos
críticos para el funcionamiento del mismo. ¿Sabrías identi car el tipo de atacante que pudo
desencadenar tan desastrosas consecuencias?

Crackers

Hackers

Creadores de virus

Lamers



 Actividad colaborativa 1

Es el momento de realizar la siguiente Actividad colaborativa. No obstante puedes seguir estudiando la

unidad didáctica y realizar esta actividad en otro momento que te sea más favorable.

Imagina que tu ordenador se infecta con un virus de tipo Ransomware. ¿Qué tipo de ciberdelicuente
crees que está detrás de la acción? Investiga en internet en qué consiste este tipo de virus.

Entra en la plataforma y pon en común con tus compañeros/as todo lo que encuentras acerca del tipo
de ciberdelicuente y opina sobre él. Entre todos podéis ayudaros para entender mejor las motivaciones
que llevan a perpetrar este tipo de ataque.

Para realizar las Actividades colaborativas debes acceder a la página principal del curso, allí
encontrarás la información necesaria para realizarla. Podrás identi car las Actividades colaborativas
por la numeración correspondiente.
UA 1: Debilidades, amenazas y ataques

2. Motivaciones del atacante

 0:00 / 0:41

Una de las claves para garantizar la protección de los datos es, sin duda, comprender qué lleva a determinadas
personas a perpetrar ataques a servidores que se encuentran a miles y miles de kilómetros de distancia.

En general, se demuestra que cualquier ataque cumple alguna de las siguientes motivaciones:

Dinero
Los ataques buscan como principal objetivo un enriquecimiento personal o conjunto. Por ejemplo, el
robo de información confidencial para venderla posteriormente, extorsiones, intentos de manipulación
en las cotizaciones de valores bursátiles, etc.

Diversión
Es una forma de pasar el rato. Algunos usuarios pasan mucho tiempo delante del ordenador.

Ideología
Son ataques realizados a instituciones u organizaciones que no piensan lo mismo que los atacantes y
estos buscan boicotear de alguna manera esa forma de pensar.

Compromiso
El atacante busca reconocimiento social. Necesita demostrar a otros atacantes que él es el más listo
de todos.

Autorrealización
El atacante busca satisfacer su ego, demostrando que es capaz de aprovechar una vulnerabilidad y
poner en compromiso aquellas mentes que idearon el sistema pero sin alardear de su hazaña ni
hacerla pública.

Pero, a pesar de que un ataque satisface alguna de las grandes causas que hemos citado anteriormente, se
hace necesario buscar causas más concretas para entender el pensamiento de un ciberdelicuente. Analizando
muchos de los casos que se documentan en la web, existen una gran variedad de motivaciones personales
como pueden ser fraude, extorsión, robo de información, venganza o simplemente el desafío de penetrar un
sistema. Incluso razones que traspasan lo personal, como últimamente estamos observando en los ataques que
se están produciendo. Hablamos de términos como el hacktivismo, el ciberespionaje o la cibeguerra.

Desde Hackmageddon han recogidos datos y realizado estadísticas sobre las motivaciones que están detrás de
los ataques web hasta la fecha.

1. Cibercrimen
El cibercrimen abarca toda acción, antijurídica y culpable que se pueda producir utilizando los
dispositivos informáticos y que tengan como objetivo el daño de otros medios electrónicos, ya sea
software o hardware a través de la red. Las conductas criminales están evolucionando más rápido de lo
que lo hace la legislación. Por ello, existen conductas que no se pueden como delito, según la “Teoría
del delito”, pero que en origen son criminales; estas se definen mayoritariamente como abusos
 informáticos. El 75 % de todos los ataques que se producen tienen que ver con este tipo de
motivaciones.

2. Ciberespionaje
El 19,4 % tiene que ver con ataques para ciberespionaje. Es decir, existen gobiernos que contratan
servicios de espionaje en la red porque saben que la información que guarda es relevante para
adoptar infinidad de estrategias: ya sean políticas, económicas, etc. Cada vez es más notable este tipo
de motivaciones.

3. Ciberguerra
El 3,1 % es un valor muy pequeño, pero no por ello despreciable en el fondo. Estamos ante la versión
ofensiva del ciberespionaje. Las acciones que se llevan a cabo intentan desestabilizar al adversario,
provocando colapsos en sus sistemas que generan rendimientos monetarios, y a veces, implicando la
seguridad de los propios individuos.

4. Hacktivismo
El 1 % de hacktivismo es un valor ridículo en consonancia con lo que ocurre en el resto de la
cibersociedad, pero en unos años este valor será mucho mayor. Esto es debido a que la cibersociedad
se expresa a través de los sistemas informáticos y siempre existirán aquellos que a través de los
mismos intenten sesgar la opinión de los demás. Es algo que vemos a diario en la vida real.



 Nota

El FBI utiliza el acrónimo MICE para referirse, de forma resumida, a las distintas motivaciones de los
atacantes de la red y sistemas informáticos. MICE viene de Money, Ideology, Compromise y Ego.



 Actividad colaborativa 2

Es el momento de realizar la siguiente Actividad colaborativa. No obstante puedes seguir estudiando la

unidad didáctica y realizar esta actividad en otro momento que te sea más favorable.

Haz una comparativa de los términos hacktivismo, ciberespionaje, ciberguerra y cibercrimen. Explica las
diferencias que hay entre ellos y busca algunos ataques famosos que se hayan producido en el último
año para cada uno de los casos.

Entra en la plataforma y pon en común tu comparativa con tus compañeros/as. ¿Estáis todos de acuerdo
con las diferencias entre una y otra?

Para realizar las Actividades colaborativas debes acceder a la página principal del curso, allí
encontrarás la información necesaria para realizarla. Podrás identi car las Actividades colaborativas
por la numeración correspondiente.

Te propongo que veas este documental donde se explica en qué consisten los ataques a sistemas de
información, quienes están detrás de ellos junto a sus motivaciones e intereses, y cómo se intuye un panorama
futuro dominado por agentes que pueden hacer tanto daño. Todo esto, que no es ajeno a nuestras vidas se
siente muy difuso y de difícil entender y, no por ello, debe caer en la despreocupación, ya que, como bien
explica el vídeo, las amenazas pueden llegar a ser muy concretas y reales.
 



 Video

Sin duda, el hecho de que el uso de las redes de comunicación electrónica se haya generalizado ha
multiplicado el número de quienes las usan con fines "ilegales", es una cuestión de probabilidad.

Los objetivos de los ataques informáticos son muy variados aunque con un patrón de funcionamiento familiar:
los objetivos gubernamentales aparecen encima de las preferencias para los atacantes, seguidos por los
objetivos educativos y legislativos.

El informe de Arbor Networks muestra una evolución preocupante de los delitos informáticos y sus objetivos:

Porcentaje de un determinado tipo de objetivos que

ha sufrido algún ataque en el año 2016



 Actividad colaborativa 3

Es el momento de realizar la siguiente Actividad colaborativa. No obstante puedes seguir estudiando la

unidad didáctica y realizar esta actividad en otro momento que te sea más favorable.

Con lo estudiado hasta ahora, ¿cuál crees que puede ser la mayor motivación por la que un individuo
puede cometer un ataque contra un centro educativo?

Entra en la plataforma y defiende tu postura frente a tus compañeros/as. Podéis hacer una encuesta
para saber cuál es la motivación más elegida.

Para realizar las Actividades colaborativas debes acceder a la página principal del curso, allí
encontrarás la información necesaria para realizarla. Podrás identi car las Actividades colaborativas
por la numeración correspondiente.



 Aplicación práctica 1
Duración: 25 minutos

Objetivos:

Tomar conciencia de por qué es tan importante la seguridad informática en una empresa.
Entender por qué ocurren los ataques a sistemas informáticos.

Imagina que se da el siguiente escenario: una empresa que se dedica a la producción de tejido que
manufactura a nivel internacional, y por otro lado, una empresa que corresponde a una firma textil muy
importante cuyo proveedor principal es esta primera. La empresa de producción registra cada una de
sus elaboraciones en un sistema informático diseñado a medida. La empresa de la firma textil solicita a
través de una plataforma que conecta con el sistema de producción una determinada cantidad de tela
en proporciones industriales para elaborar la ropa de sus clientes.

¿Cuáles serían las consecuencias de un ataque al sistema que controla la planta de producción de tela?
¿Cuáles serían las consecuencias si el ataque se produjera a la plataforma de la firma de tela? En ambos
casos, ¿habría influencia de estas acciones sobre los propios clientes finales? ¿Cuál podría ser la
motivación principal de cada uno de los ataques? ¿Compartirían intereses?
UA 1: Debilidades, amenazas y ataques

3. Metodología de un atacante determinado

 0:00 / 0:26

Para poder llevar a cabo un ataque informático se tienen que cumplir ciertos requisitos en los atacantes: estos
deben disponer de los medios técnicos, los conocimientos y las herramientas adecuadas, y por supuesto, tener
una determinada motivación o finalidad. Pero sobre todo, debe existir una oportunidad de realizarlo o una
facilidad para el desarrollo del ataque (por ejemplo, el caso de un fallo en la seguridad del sistema informático).

De todos los factores que hemos nombrado, existen tres que constituyen lo que podríamos denominar como el
“Triángulo de la Intrusión”, concepto que se presenta de forma gráfica en la siguiente figura:

Independientemente de la motivación y la tecnología que se utilice, el ataque siempre se puede ver como un
proceso compuesto por una serie de pasos que se deben seguir con sumo cuidado si no se quiere fracasar y/o
ser detectado.

La secuencia de pasos es la siguiente:

Descubrimiento y exploración en el sistema

Búsqueda de vulnerabilidades en el sistema

Explotación de las vulnerabilidades detectadas

Corrupción o compromiso del sistema

Eliminación de las pruebas

3.1 Fase de descubrimiento y exploración en el sistema

En esta fase, el atacante debe reunir mucha información de la víctima potencial. Desde la información técnica
hasta la personal porque también puede esclarecer qué tipo de tecnología utiliza. Existen múltiples formas de
obtenerla dependiendo del tipo de información. Por ello, se suele dividir en dos etapas muy definidas e
independientes:

Footprinting
 El footprinting es una fase del proceso de reconocimiento que consiste en la búsqueda de cualquier
tipo de información referente a la víctima del ataque. Cabe destacar que toda la información de esta
etapa se obtiene de forma pasiva. Es decir, sin utilizar ninguna herramienta de escaneo o filtrado para
obtenerla. Se trataría de información que se encuentra en un contexto público, aunque parte de ella
pertenezca al ámbito privado. Se intenta aprender lo máximo posible de su entorno.

Fingerprinting
En esta fase se trata la recogida o recopilación de datos específicos o técnicos del sistema de la
víctima que se pretende atacar. Se centra, por lo tanto, en el tipo de sistema, su versión, sus programas
y actualizaciones instaladas, etc.

Algunas técnicas utilizadas para recabar toda la información necesaria en estas dos fases son:

Sni ng

Phishing

Scanning

Ingeniería social

1 Sni ng

En esta etapa, el atacante busca toda la información posible del sistema de la víctima, a
partir de la información que circula por la red donde se encuentra dicho sistema. Para ello,
el atacante utiliza programas que monitorizan los paquetes (información) que viaja a través
de ella.

2 Phishing

Otro método que suelen usar los atacantes para obtener este tipo de información es
conocido como phishing. Un tipo de ingeniería social, que se basa en que el atacante utiliza
correos electrónicos o sitios web maliciosos para solicitar información personal,
regularmente financiera para analizar la posterior respuesta del sistema.

3 Scanning

Se trata de utilizar el escaneo de puertos del sistema. Dependiendo de los puertos a la

escucha y sus respuestas se puede conocer mucha información sobre el sistema de
destino.

4 Ingeniería social

Este tipo de técnica consiste en la utilización de la interacción humana (habilidad social)

para obtener información del sistema. Puede ser de forma directa, mediante el diálogo con
la persona objetivo para obtener información, o bien, utilizando la tecnología o redes
sociales.
3.2 Fase de búsqueda de vulnerabilidades en el sistema
Esta es la fase que el atacante realiza antes de lanzar un ataque sobre su objetivo. Cuando el atacante busca
vulnerabilidades en el sistema objetivo utiliza toda la información que obtuvo en la fase anterior. En concreto, ya
sabrá qué tipo de sistema operativo usa su víctima, así como el tipo de navegador, aplicaciones instaladas,
máquinas conectadas a la red, etc.

El atacante analiza el código del sistema para

encontrar un fallo que permita aprovechar.

Algunas herramientas que se usan son las siguientes:

Network mappers

Port mappers

Network scanners

Port scanners

Vulnerability scanners

1 Network mappers

Son herramientas del estilo de nmap, que utilizan paquetes IP para comprobar qué equipos
se encuentran disponibles en la red, qué servicios están a la escucha de peticiones e
información, en general, de los servidores y sistemas operativos de cada equipo de la red
donde operan.

2 Port mappers

Un port mapper es el protocolo que mapea el número de puerto con un programa que se
mantiene a la escucha a través de ese puerto. Cuando un programa necesita obtener un
puesto para mantenerse a la escucha utiliza este protocolo. El atacante podría utilizar
dichos programas para detectar ciertas vulnerabilidades a la hora de asignar puertos a
algunos servicios.
 3 Network scanners

Son herramientas que nos permiten realizar un escaneo más profundo de la red, a nivel de
los paquetes que viajan por ella. Analizando la información que circular por una red se
pueden detectar anomalías de los servicios que se ofrecen.

4 Port scanners

Los port scanners son técnicas que se utilizan para escanear los puertos que se encuentran
abiertos en un sistema sin que el atacante sea detectado. Una herramienta que permite
realizarlas es nmap.

5 Vulnerability scanners

Por supuesto, existen herramientas que te permiten analizar un sistema para indicarte
cuáles son las vulnerabilidades más importantes de este. Estas herramientas evitan mucho
trabajo, pues no es necesario buscar a ciegas dichas vulnerabilidades.



 Ejemplo

Una de las vulnerabilidades más conocidas en un sistema Linux es la que se ha utilizado durante muchos
años y que tiene que ver con el servicio “ nger”. Este servicio permite mostrar la lista de usuarios
registrados en el sistema cuando alguien se conecta remotamente.

Debemos conocer los pasos que un atacante realiza para amenazar los sistemas, ya que solo así podemos
ponérselo difícil si quiere atacarnos.



 Actividad de aprendizaje 2

A continuación, realizarás una actividad en la que aprendes cuáles son los primeros pasos de un ataque.

Si un atacante comienza a buscar información de su víctima y se encuentra con cierta información como
que su sistema objetivo se ubica en un servidor en Los Ángeles, bajo un anillo de seguridad en red
compuesto de dos rewalls, y el rango de IP asignadas está en 10.2.X.X. ¿En qué fase de las vistas hasta
ahora se encontraría el posible ataque al sistema?

Fase de análisis

Fase de explotación

Fase de hunting

Footprinting

3.3 Fase de explotación de las vulnerabilidades detectadas

La siguiente acción del atacante será la de explotar la vulnerabilidad o fallo encontrado en el sistema.
Aprovecharlo para acceder al sistema con todos los privilegios, o para extraer información relevante. Es la etapa
donde se lleva a cabo el ataque realmente.

Las explotaciones se pueden realizar desde internet, LAN, o bien fuera de línea (o ine). Entre las técnicas más
utilizadas encontramos:

Bu er Over ows (desbordamiento de buffer)

DoS (Denegación de servicio)
DdoS (Denegación de servicio distribuido)
Sesión Hijacking (secuestro de sesión)
Password Cracking (romper la clave del usuario)
Ataque man-in-the-middle



 Ejemplo

Una conocida herramienta para la explotación de vulnerabilidades es metasploit, que permite una
conexión remota con el sistema objetivo aprovechando la vulnerabilidad Remote Authentication Bypass:

Esta sería la primera parte de la explotación de una vulnerabilidad para provocar un daño en el sistema.

3.4 Fase de corrupción o compromiso del sistema

Una vez conseguido el acceso al sistema, el atacante cambia su prioridad. Ahora necesita mantener el acceso a
ese sistema que atacó. Para ello, lo logra haciendo uso de los recursos del propio sistema atacado. Más
concretamente, lo puede usar como plataforma de lanzamiento de ataques con fines de escaneo y explotación
a otros sistemas que desee atacar.

En este momento, con el control del sistema, el atacante puede alterar programas y datos. Lógicamente, el
atacante desea permanecer oculto e indetectable para lo que debe eliminar cualquier rastro o evidencia del
ataque. Por último, aprovechará todas las puertas traseras, troyanos y gusanos posibles para mantener el ataque
perdurable en el tiempo.



 Ejemplo

Una vez ganado el acceso a un sistema de tipo Linux, corromperlo puede ser tan fácil como intentar
ejecutar el siguiente comando:

$ rm –rf /

3.5 Fase de eliminación de las pruebas

Una vez ha acabado el ataque, es necesario destruir todo rastro o evidencia de las acciones. Sin embargo,
muchos atacantes dejan una puerta abierta que les facilita el acceso al sistema en cualquier momento. Destruir
las huellas o trazabilidad del ataque permite ponerles más duro a los administradores de sistemas y redes, el
conseguir pistas sobre el atacante y tipo de ataque y, por lo tanto, complicar que puedan corregir la
vulnerabilidad explotada.

Algunas herramientas y técnicas que se utilizan en esta fase son:

Troyanos
Se trata de un malware que brinda al atacante acceso remoto al equipo infectado. Por lo general, se
usa después de un ataque.

Steganography
Es una técnica que se ha puesto de moda entre los atacantes. Se basa en ocultar mensajes dentro de
imágenes para esconder las pistas de la información relevante de la actividad maliciosa en el equipo
afectado. Esa información que viaja en forma de imagen es difícil de detectar.

Tunneling
Es una técnica que permite que un código malicioso no sea detectado frente a módulos de detección,
mediante punteros directos a los vectores de interrupción. Los antivirus también utilizan esta técnica.

Rootkits
Un rootkit es un programa informático que busca obtener privilegios de root en el sistema donde se
ejecuta. Cuando lo obtiene, es capaz de ocultar procesos y archivos que utilizó para conseguirlo. De
esta forma, los antivirus no son capaces de detectarlos.

Alteración de Log Files

Consiste en buscar todos los ficheros del log del sistema y borrar las entradas que tienen que ver con
todas las acciones que hemos llevado a cabo en el sistema desde que ganamos su acceso.




 Aplicación práctica 2
Duración: 50 minutos

Objetivos: Aprender en qué consiste un ataque informático y las fases por las que pasa.

Somos responsables de la seguridad informática de una empresa que se dedica a la elaboración de

cursos online y también suministra las plataformas para la realización de estos cursos. Como
responsables, debemos conocer las principales técnicas de hacking y como se aplican. Para ello, la
empresa propone un curso rápido de aprendizaje sobre hacking desde la plataforma root me. Se trata de
una plataforma que permite probar habilidades de hacking, mostrando información y ofreciéndote ayuda
para aprender.

Regístrate de forma gratuita en la plataforma <https://www.root-me.org> (https://www.root-me.org/) y

realiza unos cuantos ejercicios. A continuación, elabora un resumen con los puntos claves que has tenido
que tener en cuenta para aplicar los conocimientos aprendidos hasta ahora. ¿Coincide la forma de
proceder en la ejecución de un ataque con la descrita en este curso? ¿Cómo valoras la experiencia?
UA 1: Debilidades, amenazas y ataques

4. Vulnerabilidades y ataques comunes

 0:00 / 0:21

Una vulnerabilidad informática no es más que un fallo o debilidad de un sistema que puede aprovechar un
atacante para realizar un ataque y comprometer toda la información que almacena y/o tiene acceso.

En la mayoría de los casos, las vulnerabilidades son el resultado de bugs o de fallos en el diseño del sistema.
Pero existen muchas otras situaciones que pueden llegar a producir vulnerabilidades en un sistema que se ha
diseñado pensando en la seguridad.

Causas de las vulnerabilidades

Debilidad en el diseño de los protocolos utilizados en las redes.

Errores de programación.
Configuración inadecuada de sistemas informatícos.
Políticas de seguridad deficientes o inexistentes.
Desconocimiento y falta de sensibilización de los usuarios y de los responsables de informática.
Disponibilidad de herramientas que facilitan los ataques.
Limitación gubernamental al tamaño de las claves criptográficas y a la utilización de este tipo de
tecnologías.
Existencia de "puertas traseras" en los sistemas.
Descuido de los fabricantes.



 Nota

La última vulnerabilidad grave de Windows puso en peligro a todos los usuarios de su propio antivirus. El
fallo permitía a un atacante remoto tomar el control del sistema sin que el usuario tuviera que intervenir,
simplemente le bastaba con enviar un e-mail o mensaje instantáneo infectado, que fuera escaneado por
Windows Defender, para así usarlo como vector.

Por el contrario, una amenaza es la acción que explota la vulnerabilidad y que pone en riesgo la seguridad y
protección del recurso informático, en este caso, el sistema de información. Debemos conocer cuáles son las
formas más utilizadas de aprovechar estas vulnerabilidades para mejorar la protección frente ellas.
UA 1: Debilidades, amenazas y ataques

5. Herramientas de hacking
 0:00 / 0:18

Para aprovechar una vulnerabilidad o debilitar un sistema, el atacante suele utilizar pequeños programas con
acciones muy diversas, aunque con el mismo fin. Se conocen con el nombre de exploit.




 De nición

Exploit

Las definiciones habituales hablan de un programa o código que se aprovecha de un agujero de

seguridad (vulnerabilidad) en una aplicación o sistema, de forma que un atacante podría usarla en su
beneficio.

Es fácil confundir la definición de exploit con la de malware, pero no es lo mismo. El exploit no es un código
malicioso por naturaleza, sino que es la “llave” para que estos accedan y corrompan el sistema.

El exploit lo que hace es abrir la puerta del sistema para el ataque. Sería así como si un sistema tuviera un error
o una forma de funcionar (vulnerabilidad) que permitiera, utilizando un pequeño código (exploit), convertirse en
un sistema preparado para ser atacado. En el último paso, el atacante ganaría el acceso al sistema y ejecutaría
el código (malware) para corromperlo u obtener información relevante.

Alguna de las nalidades más comunes de un exploit puede ser una o varias de las siguientes:

Obtener acceso
Un exploit podría ejecutarse y ganar acceso remoto a otra máquina. Sería el ataque que compromete
de forma total al sistema.

Instalar una puerta trasera

Otro ejemplo de finalidad de un exploit podría ser instalar un troyano para ganar acceso más tarde.

Dejar la máquina fuera de línea

También sería un resultado satisfactorio para un ataque si dejara fuera de línea un servidor del que
dependieran muchos usuarios.

Escuchar información
O bien, un exploit podría reenviar toda la información que obtiene en la red a un tercero para analizarla.

5.1 Categoría de los exploit

Los exploit se pueden clasificar en diferentes categorías en función del ámbito de ejecución de los mismos.
Para ganar el acceso a un sistema, los atacantes suelen utilizar a menudo más de un forma de atacarlo. Si la
técnica utilizada para el primer ataque no funciona se seguiría utilizando otras formas de ataque hasta obtener
el control total del sistema.
Lo que más define un exploit es su ámbito de ejecución, porque su diseño global depende de él. Por lo tanto,
una clasificación que se puede hacer de ellos es la siguiente:

Sobre internet
El tipo de exploit que usa como ámbito de ejecución internet es el más utilizado en los ataques. Esto
puede ser debido a muchísimas causas pero, sobre todo, debido a que casi todas las compañías, sean
del tipo que sean, hoy en día están conectadas a internet y, aunque no están 24 horas del día
trabajando, sus servidores sí lo están y es fácil irrumpir en un horario en el que es más difícil detectar
un ataque.

Ataques coordinados: el exploit prepara y sincroniza ataques que suponen la colaboración de

decenas, centenas e incluso miles de atacantes a la misma vez.
Secuestro de sesión: el exploit enmascara el inicio de sesión de un usuario, intentando que crea
que está iniciando sesión en su propio sistema.
Spoo ng: el exploit lo que ayuda es a suplantar una dirección IP, dirección de correo, etc.
Caballos de troya: un caballo de troya sería un exploit que permite abrir un acceso directo del
atacante sobre el sistema en cuestión.
Relaying: el exploit consiste en enmascarar el ataque para que parezca que proviene de una
máquina diferente a la suya.

Sobre LAN
Una gran parte de exploit está pensada para actuar en la misma red donde se despliegan. Están
categorizados como muy dañinos, ya que ninguna compañía piensa que un ataque pueda provenir o
tener origen en su intranet. Suelen llevarlos a cabo el personal de confianza, lo que los hace muy difícil
de detectar.

Sni ng: sobre el tráfico: el exploit se basa en la idea de estar continuamente monitorizando la
información que se transmite por la red.
Broadcasts: se basa en la inundación de la red mediante paquetes.
Acceso a los archivos: el atacante se ayuda de cierta información relevante y de la debilidad de los
usuarios a la hora de establecer determinadas contraseñas.
Control remoto: el exploit realizaría una conexión remota al sistema objetivo para ganar el acceso.
Ataques a las redes inalámbricas: el objetivo es atacar el ancho de banda para disminuir el
rendimiento de la red.

Localmente
Estos exploit son más raros de encontrar porque actúan sobre la misma máquina que los ejecuta.
Quizás pueda ser el resultado de un acceso conseguido por otros medios. Por ejemplo, acceso directo
al servidor.

Observación detrás de hombros: mirar tras los hombros cuando alguien está escribiendo la
contraseña.
Terminales abiertas: el atacante puede aprovechar los momentos en los que el empleado no se
encuentra en su puesto para obtener el acceso al sistema.
Contraseñas escritas: algunos empleados escriben las contraseñas para recordarlas.
Máquinas desconectadas: también se puede atacar un sistema reiniciando su máquina o
apagándola.

Fuera de línea
Los exploits que actúan fuera de línea suelen realizar ataques en los que se roba cierta información
para planear el ataque a otra red. Son muy difíciles de detectar.

Descargas de archivos de contraseñas: se basa en la idea de descargar de alguna forma el archivo

de cifrado de contraseñas del sistema.
Descargas de textos encriptados: en esta técnica, el exploit envía la información de texto que ha
codificado el usuario al atacante para, mediante fuerza bruta u otros algoritmos, descifrarla.
Copiar grandes cantidades de datos: utilizar medios de almacenamiento persistentes para
almacenar los archivos de contraseñas o codificados con los mismos fines anteriores.
 0:00 / 0:19

Entre la diversidad de herramientas que los ciberdelincuentes suelen utilizar, ya hemos visto que los exploits
sirven a un propósito muy específico, otro tipo de herramientas se utilizan para extraer información con la que
analizar el posible ataque, mientras que existen otro tipo de herramientas, conocidas como malware, que son
precisamente las que realizan el ataque al sistema de alguna forma. A continuación, se describen algunas de las
más utilizadas:

Extraer información
Como su propio nombre indica, se trata de herramientas que se utilizan para obtener información, bien
de los sistemas o bien de la red donde se encuentra la víctima:

Nmap: se utiliza para obtener las máquinas que componen la red.

Wireshark: es un snnifer muy famoso para monitorizar la red.
John the ripper: famosa herramienta para la desencriptación de claves de usuario por fuerza bruta.
Nikto: herramienta para escanear servidores web y obtener multitud de información sobre
servicios, sistemas, etc.

Malware
Se trata de las herramientas que se utilizan para dañar el sistema. Trozos de código que roban
información, destruyen información, vuelven inestables a los sistemas, etc.

Spyware: software que se instala para monitorizar las acciones de un usuario.

Virus: software que busca dañar e infectar nuevas máquinas.
Troyano: software que se instala para abrir un agujero de seguridad para permitir ganar acceso o
enviar ficheros dañinos.
Spam: correo electrónico que no sirve para nada, solo para inundar y saturar las bandejas de
entrada y los servidores de correo.
Gusanos: software que busca propagarse por la red y colapsar el ancho de banda esta.
Rootkit: software que al ejecutarse obtiene privilegios de administración en el sistema.

Debemos conocer los tipos de exploits que pueden utilizar los atacantes para comprometer o debilitar tu
sistema.



 Actividad de aprendizaje 3

A continuación, realizarás una actividad en la aprendemos a distinguir cuándo estamos a salvo de qué
tipo de exploits.

Por razones de mantenimiento, nos vemos obligados a desconectar temporalmente nuestro sistema de
la red internet, mientras nos conectamos desde otra máquina de la misma red para realizar algún tipo
de modi cación en los cheros del sistema con el n de mejorar la seguridad. ¿A qué tipo de exploits
estaríamos expuestos en este preciso instante?

Exploits fuera de línea, locales, sobre LAN e internet.

Exploits fuera de línea, locales y sobre LAN.

 Exploits fuera de línea.

Exploits sobre LAN e internet.



 Actividad colaborativa 4

Es el momento de realizar la siguiente Actividad colaborativa. No obstante puedes seguir estudiando la

unidad didáctica y realizar esta actividad en otro momento que te sea más favorable.

Descarga wireshark de su página oficial. Instálalo en tu equipo y ejecútalo para obtener información de
los paquetes que viajan por tu red.

Entra en la plataforma y compara con alguno de tus compañeros/as el resultado que obtenéis sobre la
información de vuestra red. Intentad comparar cuatro o cinco paquetes del mismo protocolo.

Para realizar las Actividades colaborativas debes acceder a la página principal del curso, allí
encontrarás la información necesaria para realizarla. Podrás identi car las Actividades colaborativas
por la numeración correspondiente.
UA 1: Debilidades, amenazas y ataques

6. Ingeniería social
 0:00 / 0:14

Con una filosofía totalmente opuesta a cualquier técnica de desarrollo de aplicaciones para obtener una ventaja
sobre la víctima, la ingeniería social se basa en un conjunto de estrategias para aplicarlas en el trato personal y
conseguir esa ventaja respecto a otros.

Un ejemplo muy conocido, a la par que ridículo, es la que se conoce como estafa nigeriana, un correo
electrónico donde se promete a su destinatario una recompensa económica muy cuantiosa. Para ello, intenta
convencer de que la fortuna le corresponde gracias a una herencia, por ganar un sorteo, por donación o por
otros diversos motivos. Para adquirirla, se exige un pago por adelantado que es una cantidad muy inferior en
comparación con la ganancia final.



 Nota

Según RajSamani, EMEA CTO de Intel Security, asesor del Centro Europeo del Cibercrimen de la Europol:
“lo más común que nosotros vemos cuando investigamos brechas de datos es el uso de ingeniería social
para obligar al usuario a hacer algo que facilite la infección de malware, sin que sea consciente de ello”.

Se distinguen dos grandes grupos dentro de la ingeniería social, dependiendo de cuánto dure la interacción
con la víctima:

Hunting

Hunting sería el grupo de ataques que busca obtener información específica del objetivo con la menor
exposición directa posible. Es decir, con el menor contacto posible. En la práctica, la finalidad es
conseguir X dato importante. El atacante se pone en contacto con la víctima de algún modo y la
persuade para obtener la información.

Farming

Sería justo lo contrario al hunting. En este caso, se busca mantener el engaño un mayor tiempo posible,
de forma que se pueda maximizar la cantidad de información obtenida de la víctima. Para ello, se
suele recurrir a granjas de identidades, que por lo general han sido robadas con anterioridad.

Lo más importante de estas técnicas es entender que en la práctica no hay ningún sistema informático que
nos pueda prevenir de un ataque de este tipo. Como mucho, y a lo sumo, se puede realizar una implantación
de directivas de seguridad (ISO o la normativa que más le guste) que eviten que el eslabón más débil de la
cadena se rompa (el trabajador/cliente/usuario).

En general, se debe formar a los trabajadores para que tengan los conocimientos suficientes como para no caer
en un engaño (o al menos para minimizar las consecuencias asociadas a él).

Los principios de la ingeniería social son los siguientes:

Reciprocidad
Una de las características del género humano es que somos individuos con naturaleza recíproca. Es
decir, si alguien nos ofrece algo nosotros le devolveremos el favor tarde o temprano. Igualmente, si
 alguien nos trata mal, automáticamente estaremos más susceptibles de repetirlo a la inversa. Es por
ello que es importante entender que es difícil encontrar alguien que trabaje de forma altruista, y
menos que tengamos nosotros la suerte de ser su objetivo. Por lo tanto, será mejor desconfiar de
aquellas oportunidades que parecen imposibles.

Urgencia
Para contrarrestar la desconfianza, se suelen utilizar reclamos como: ¡Aproveche esta oferta! ¡Hasta fin
de existencias! ¡Durante los próximos cinco minutos…! Esto puede indicar que hay una estafa detrás,
solo que intenta disimular que es algo único o que ocurre pocas veces para hacerlo más probable.
También podemos encontrar mensajes negativos de este tipo como: Tienes 24 horas para enviarme X
datos del banco o Hacienda te pondrá la consabida multa. Todo falso obviamente.

Consistencia
Como somos “animales de costumbres”, algunas personas pueden inducirnos a realizar determinadas
acciones camufladas junto a otras acciones menos importantes y que hacemos en el trabajo con
asiduidad. Aunque esas acciones sean raras terminaremos realizándolas por haber dado nuestro
consentimiento previo del conjunto.

Con anza
Puede ocurrir que confiemos en determinadas personas, bien porque nuestro interlocutor nos cae bien
o bien porque está alineado con nuestros intereses. Si eso ocurre, podría llegar a traicionarnos y pedir
ciertos favores a cambio de información que nosotros mismos le hemos proporcionado como muestra
de confianza.

Autoridad
No es lo mismo que nos pida las credenciales de acceso a un servicio un empleado, el becario o
nuestro jefe. Se pueden distinguir la usurpación por robo de perfil digital o bien aparentando un perfil
ficticio.

Validación Social
Como seres sociales que somos, buscamos la aprobación del colectivo. Por tanto, si en un e-mail
alguien nos pide específicamente que hagamos algo y parece que todo el mundo lo hace es posible
que acabemos haciéndolo también nosotros. Los atacantes lo saben y engañan creyendo que las
acciones no son importantes o las ha realizado media empresa.



 Actividad colaborativa 5

Es el momento de realizar la siguiente Actividad colaborativa. No obstante puedes seguir estudiando la

unidad didáctica y realizar esta actividad en otro momento que te sea más favorable.

¿Es posible defenderse de la ingeniería social? ¿Qué técnicas se te ocurren para conseguirlo en caso de
que lo consideres posible?

Entra en la plataforma y propón a tus compañeros/as alguna técnica o estrategia para evitarla. Si dos o
más compañeros/as estáis de acuerdo con alguna, intentad defenderla del resto de compañeros/as y
buscad formas de romperla si estáis intentando refutar alguna.

Para realizar las Actividades colaborativas debes acceder a la página principal del curso, allí
encontrarás la información necesaria para realizarla. Podrás identi car las Actividades colaborativas
por la numeración correspondiente.
UA 1: Debilidades, amenazas y ataques

7. Prevención de ataques
 0:00 / 0:19

La seguridad informática en la empresa busca proteger y prevenir que cualquier agente externo o interno, que
no tengan autorización, haga un uso indebido de los sistemas de información para el beneficio propio o de
terceros, afectando directa o indirectamente al rendimiento del negocio. Y, en todo caso, minimizar el daño
comercial si finalmente se produjeran los ataques.

Para lograr estos objetivos, se establecen una serie de medidas de seguridad que intentan preservar las
infraestructuras tecnológicas y de comunicación. Algunas de estas medidas tienen que ver con implementar la
instalación de programas de antivirus, rewalls, desactivación de ciertas funciones de software, cuidar del uso
adecuado de la computadora, así como evitar mal uso de los recursos de red o de internet por parte del
personal.

Sin embargo, la seguridad de la información va mucho más allá, intenta prevenir de posibles amenazas,
cualquier medio donde se localice información, ya sea un sistema informático, o bien un impreso en papel. Se
centra en mejorar los procesos y procedimientos de negocio mediante medidas técnicas, organizativas y
legales, con el fin de garantizar que se cumplen los principios de con dencialidad, integridad y disponibilidad
de los sistemas de información.

La seguridad informática se preocupa de proteger la infraestructura lógica y física a nivel informático, así
como la información que de alguna manera reside o hace uso de esta infraestructura. Por el contrario, la
seguridad de la información abarca no solo la seguridad informática, sino cualquier tipo de información en la
empresa, sea cual sea el medio en el que se encuentre.

Actualmente, vivimos una época en la que cualquier operación se puede realizar utilizando un sistema de
información. Por lo tanto, es obvio que necesitamos asegurar que todos nuestros datos se están utilizando
únicamente para nuestros fines y no para el de alguien ajeno a nosotros.

El robo de datos tan importante y tan simple como el número de cuenta bancaria, el de la tarjeta de crédito o,
por qué no, el del simple DNI pueden ocasionar problemas muy graves si caen en las manos de determinadas
personas.

Las dos formas de atacar los sistemas son:

Está claro que una empresa, si quiere evitar ser atacada, necesita un buen sistema de prevención que se base
en la idea de utilizar recursos dedicados al análisis de la seguridad para establecer políticas de seguridad que
permitan minimizar el riesgo.

Algunos de los mecanismos que se implantan adicionalmente al uso de estas políticas son los de cibervigilancia
activa o contraespionaje.

Estas técnicas consisten en preservar la seguridad informática, aplicando una vigilancia activa y continuada
sobre los recursos de red, utilizando herramientas que otros atacantes podrían utilizar para obtener la
información relevante de la red.



 Nota

Según Omar Abbosh, chiefstrategyo cer (CSO) de Accenture: “La cuestión es hacer frente al problema de
la seguridad desde la perspectiva de un atacante”. Aquí entraría en juego el término de cibervigilancia
activa o contraespionaje.

La receta de la seguridad informática en grandes compañías se compone de cuatro estrategias que,

combinadas, no solo construirán un muro de seguridad, sino que, además, podrán prevenir los ataques y
apagarlos incluso antes de que se produzcan.

Identidad digital
Es necesario proporcionar un sistema de verificación de la identidad en línea que permita de forma
segura identificar a un individuo o corporación en la cibersociedad. De forma que podamos ser
identificado sin ningún tipo de duda frente a cualquier acción que se cometa en la red.

Seguridad de las aplicaciones

El acceso de los usuarios al sistema debe estar reforzado, impidiendo la entrada de aquellos cuya
identidad no sea probado o validada.

Estrategia y riesgo
Es necesario adoptar una política de presunción de que es posible atacar satisfactoriamente nuestro
sistema. Analizar el posible impacto de cada tipo de ataque es crucial para escoger las estrategias de
prevención correctas.

Ciberdefensa
A colación con el caso anterior, si es posible atacar el sistema, debería ser posible defenderlo.
Analizando los tipos de ataques y debilidades de nuestro sistema podemos escoger estrategias de
 protección o reforzamiento del mismo ante eventuales ataques.

Sin embargo, y pese a adoptar medidas globales para la prevención de ataques, existen un montón de
pequeñas acciones que ocurren diariamente en una empresa, y que son potenciales riesgos de quebrantar el
mejor sistema de prevención implantado. Para evitar que alguna de ellas provoque una catástrofe es necesario
formar y concienciar a todos los empleados de la empresa, independientemente de sus conocimientos
técnicos.

Algunas de las siguientes acciones pueden evitar una oleada de pánico entre los integrantes de los
departamentos más técnicos en una empresa:

Evitar pulsar enlaces "raros" o desconocidos.

No visitar sitios web dudosos o sin seguridad https.

No caer en engaños de suplantación de identidad.

Usar distintas contraseñas.

Cambia tu contraseña cada cierto tiempo.

No reenviar nunca por correo electrónico algún dato importante.

Usa protección para tu sistema (antivirus, antimalware, etc.).

Los técnicos de la empresa son el eslabón más fuerte para prevenir los ataques y, sin duda, sus
comportamientos también son determinantes a la hora de evitar que se produzcan problemas de seguridad y
amenazas en los sistemas. Para ello, algunas de las muchas medidas que se deben para preservar la seguridad
informática pueden ser:

Toda máquina de la empresa de tener software antivirus instalado.

Es necesario limitar el acceso a la infraestructura (intranet).

Se debe monitorizar los recursos de las máquinas de la empresa.

Hay que formar a los empleados con aspectos de seguridad informática.

Nunca se deben abrir archivos adjuntos de e-mails desconocidos.

No debemos guardar nunca información relevante en sistemas clouding.

La prevención es la clave para evitar el 80 % de los ataques que hoy en día proliferan en la red. Sin embargo, las
medidas pueden llegar a ser tan simples como no hacer clic en un correo que llega sin identificación. Es
necesario, por lo tanto, transmitir este conocimiento a todos los empleados de la empresa para evitar futuros
problemas.



 Actividad de aprendizaje 4

Es necesario que lleves a cabo las acciones preventivas más básicas para prevenir ataques.

Trabajamos ocho horas diarias delante de un ordenador y recibimos correos electrónicos con mucha
frecuencia, correos corporativos y de clientes por igual. Sin más datos, ¿cuáles crees que serían las
primeras medidas de seguridad que tendríamos que adoptar?

Implantar antivirus, limitar acceso a infraestructura.

Limitar acceso a infraestructura.

Monitorizar los recursos de cada empleado.

Hay que formar a los empleados con aspectos de seguridad informática.




 Aplicación práctica 2
Duración: 25 minutos

Objetivos:

Conocer las técnicas actuales más importantes que utilizan los atacantes sobre los sistemas
informáticos.
Ser capaces de diferenciar qué comportamientos pueden aumentar el riesgo de amenazas y cuáles
no.

Acabas de ser contratado como asesor de seguridad de una empresa que se dedica a la venta online de
artículos de moda, y tu jefe te exige que elabores un buen plan de seguridad informática para la misma.

Partiendo del tipo de empresa en el que te encuentras, y sabiendo que cuentan con una infraestructura
informática deficiente constituida por un servidor donde se aloja la base de datos y el marketplace; y un
par de ordenadores que sirven para realizar modificaciones. ¿Cómo plantearías el plan de seguridad?
¿Qué acciones deberían cumplir todos y cada uno de los integrantes de la empresa incluido el propio
jefe? ¿Cuáles serían nuestras amenazas principales en cuestión de seguridad informática?
UA 1: Debilidades, amenazas y ataques

8. Respuesta a contingencias
 0:00 / 0:19

Sin embargo, y pese a todas las técnicas y procedimientos de planificación de la seguridad informática, los
expertos indican que evitar todos los ciberataques es demasiado complicado, casi imposible, por lo que es
necesario trabajar para que las organizaciones perfeccionen el procedimiento a seguir cuando ocurra una
catástrofe de este tipo.

De esta forma, la entidad recuperará lo antes posible el control, y podrá realizar las acciones de
desinfectacción de equipos, evaluación de daños producidos y tomar las medidas pertinentes. Esa sería la
diferencia entre un plan de contingencias efectivo y uno que no lo es. He aquí las fases de las que se compone
un plan de contingencias:

Poner en marcha un plan de respuesta

Coordinar al equipo de trabajo que hará frente al ciberataque

Contactar con terceras partes

Transparencia y comunicación

Aprender la lección

1 Poner en marcha un plan de respuesta

Después de conocer que se ha producido el ataque, el primer paso es poner en marcha el

plan de respuesta correspondiente con la política de seguridad establecida.

2 Coordinar al equipo de trabajo que hará frente al ciberataque

En el plan de respuesta debe estar especificado quién se encargará de hacer frente al

ciberataque. Se realizará el contacto con todos los profesionales para coordinarlos en el
plan de actuación. Por supuesto, no solo están involucrados perfiles de TI y relacionados
con la seguridad de la información.

3 Contactar con terceras partes

El equipo responsable de dar respuesta debe también contactar con los proveedores
habituales de TI y seguridad, para solicitar asesoría y ayuda ante la eventualidad,
proporcionando toda la información que conozcan sobre el tipo de ataque, consecuencias y
soluciones. También, si fuera necesario, se notificaría el suceso a las autoridades y fuerzas
de seguridad nacionales.
4 Transparencia y comunicación

Por el hecho de que se produzca un ataque a nuestra organización, no es síntoma de

debilidad. Hay que tener en cuenta que todas las grandes compañías han sufrido ataques y
siguen sufriendo de forma diaria. El silencio solo genera incertidumbre y desconfianza y
efectos mucho más negativos en la imagen de la compañía. Por ello, una buena
comunicación con los empleados, clientes y socios debe ser la tónica predominante tras un
ciberataque.

5 Aprender la lección

Por último, y subsanado el problema, toca aprender de los errores cometidos y reforzar la
seguridad en el ámbito que se haya producido el ataque.
 UA 1: Debilidades, amenazas y ataques

Resumen
Un sistema de información siempre está sometido a una amenaza constante, debido principalmente a su
propia naturaleza. Dichas amenazas buscan brechas de seguridad o debilidades en el sistema, conocidas como
vulnerabilidades, que aprovechan para realizar las acciones “maliciosas”. Las motivaciones son muy diversas:

Dinero

Diversión

Ideología

Compromiso

Autorrealización

Pero un ataque informático involucra realizar un conjunto de pasos metódicos muy determinados:

Descubrimiento y exploración en el sistema

Búsqueda de vulnerabilidades en el sistema

Explotación de las vulnerabilidades detectadas

Corrupción o compromiso del sistema

Eliminación de las pruebas

Para evitar que un sistema se vuelva vulnerable o se aprovechen de sus debilidades aparece el concepto de
seguridad informática como apéndice de la seguridad de la información, intentando cubrir la necesidad de
minimizar el riesgo en favor a una buena prevención y una detección precoz.

Pero como dicen la mayoría de los expertos, no existe la seguridad informática al 100 %. Un sistema siempre
estará en peligro de ser explotado. En este caso, lo más importante es haber definido un buen plan de
contingencias para reducir el impacto de las consecuencias en los activos empresariales y recuperar el control
lo antes posible.