Documente Academic
Documente Profesional
Documente Cultură
CNOL
LOG
G@ y DE
ESAR
RROL
LLO
Revista de Cie ncia, Tecnologa y Medio A mbiente
VO
OLUMEN XV.
X AO 2017
SEPAR
RATA
RIIESGOS DE CIBE
ERSEGUR
RIDAD EN
E LAS E
EMPRESA
AS
EnriqueJavi
E ierSantiago
o,JessSn
nchezAllendde
ABSTRACT: The Increasing technology dependence of organizations not only brings benefits to
organizations else if cybersecurity measures are not implemented and risk is managed in the technology
infrastructure and business processes, the companies will be exposed to a large number of threats That
exploiting their vulnerabilities could seriously jeopardize their information assets.
This document concentrates the result of research on the security risks to which organizations are
currently exposed, as well as the state of the art of digital threats, malware evolution, trends, computer
attacks and new targets of cybercrime organizations as the Internet of Things.
http://www.uax.es/publicacion/riesgos-de-ciberseguridad-en-las-empresas.pdf
4 Enrique Javier Santiago, Jess Snchez Allende
1. Introduccin
En este artculo se abordan los principales riesgos de seguridad al que estn expuestas las empresas del
siglo XXI con enfoque descriptivo. Se afronta el riesgo a partir de la relevancia que tienen los activos de
informacin para las organizaciones, se describen los efectos de la tecno dependencia si no se
salvaguardan los recursos, el concepto de riesgo y el rol que tienen las vulnerabilidades y las amenazas en
la probabilidad de materializacin de los incidentes de seguridad como tambin el impacto que tiene en
las organizaciones el compromiso de los activos de informacin.
Se relacionan tambin las principales amenazas que afectan el riesgo en las empresas de diferentes
sectores. Y se recopilarn una relacin de tcnicas de ataque empleadas por hackers de sombrero negro
para comprometer los activos de informacin digital de las organizaciones.
Se hace una resea de las amenazas actuales que hoy en da afectan a la seguridad de la informacin, la
recopilacin del estado del arte del riesgo al que se exponen las empresas y las tendencias a las que
apunta el mercado que pudieron ser identificadas a partir de las fuentes de referencia y del resultado de la
investigacin del autor.
En primer lugar, en el apartado 1 se llevar a cabo una introduccin a los riesgos de seguridad a los que
estn expuestas las empresas.
En el apartado 3, se describe la tecno dependencia y los efectos no deseados que traen consigo la falta de
un sistema o conjunto de procesos de monitorizacin permanente de los activos de informacin de la
organizacin. Y se profundizar en por qu este tipo de tecno dependencia incrementa el riesgo para la
informacin corporativa. Tambin se relaciona el rol que tienen los sistemas distribuidos en la operacin
de los servicios de red LAN y en el mismo internet. Tambin se describe el concepto de superficie de
ataque y su relevancia en la medida del riesgo.
En el apartado 5 se describen los riesgos de seguridad a los que estn expuestas las organizaciones. Se
explica el origen de las vulnerabilidades en los sistemas computacionales, los tipos de estas. Y se
relacionan las principales amenazas involucradas en la materializacin del riesgo y los incidentes de
seguridad de la informacin e informtica. Tambin se aborda la clasificacin del malware y su evolucin
actual.
En el apartado 6 se estudian los principales ataques informticos que podran afectar la integridad,
confidencialidad y disponibilidad de los activos de informacin que se gestionan en las empresas hoy da,
el estado del arte de las ciberamenazas y las tendencias.
Posteriormente en el apartado 7 se describen los principales vectores de propagacin usados por los
agresores para comprometer la seguridad de las organizaciones.
Tecnolog@ y desarrollo. ISSN 1696-8085. Vol.XV. 2017
Riesgos de ciberseguridad en las empresas 5
Puede afirmmarse que la seguridad dde la informaacin dependee de que se garanticen sus s principioss
fundamentalles (Krutz y Vines, 20022, pp. 8-16) conocidos co omo: la conffidencialidad, integridad y
disponibilidad al igual qu
ue se garanticce el no repud
dio, autenticid
dad y la trazabbilidad de la misma en loss
procesos en los que se hag
ga uso de ellaa.
El termino Confidenciali
C ferencia al heccho de que la informacin ssensible de laa organizacinn
idad hace refe
solo pueda ser
s conocida porp personal aal que previammente le han siido otorgados privilegios soobre ella. Conn
el uso de la tecnologa, estos permisoss de acceso geeneralmente soon asignados a las cuentas de usuario dee
los empleaddos para que puuedan desemppear su laborr dentro de la empresa.
e
La Integrid
dad se refiere al hecho de qque la informaacin solo pueeda ser modifi
ficada dentro de
d un procesoo
corporativo legtimo, durante un perio do de tiempo, desde un sittio autorizadoo. Y por perso
onal al que laa
compaa lee ha otorgado o privilegios. Las adicionees, eliminacioones parcialess y cualquierr otro tipo dee
modificacinn en condiciones distintas a las mencionaadas no estn permitidas.
http://www.uax.es/publicacion/riesgos-de-ciberseguridad-en-las-empresas.pdf
6 Enrique Javier Santiago, Jess Snchez Allende
Adems, se consideran servicios de seguridad de la informacin y que deberan ser tratados como
caractersticas secundarias de la informacin a aquellos que hacen uso de mecanismos que apoyan el
aseguramiento de este activo y se incluyen principalmente a:
Por otra parte la Trazabilidad hace referencia al servicio de registro continuo de las acciones en las
cuales est involucrado cualquier activo de informacin de la compaa al igual que los datos referentes a
los actores participantes, la descripcin de la accin acciones acompaadas de marcas de tiempo que
permitan dentro de un proceso de auditoria reconstruir con detalle el suceso.
Otro servicio importante es el de Autenticacin que tiene como tarea realizar la verificacin de la
identidad y los privilegios sobre los activos de informacin de los actores que pretenden participar en una
transaccin. De manera que ayuda a facilitar la autenticidad de la informacin antes de ser procesada
dentro de la organizacin.
Por ende, es indudable que, la adopcin en crecimiento de la computacin dentro de las organizaciones y
la interconectividad a la Internet ha demostrado ser elementos claves en la expansin del mercado
corporativo, y en el mejoramiento de la calidad de los productos y servicios ofrecidos, facilitando as la
competitividad y el crecimiento empresarial. Pero tambin es claro, que esta situacin lleva consigo a la
tecno dependencia que sumerge a las empresas en la necesidad de gestionar un nuevo tipo de riesgo; el
asociado con la seguridad de su informacin.
Las organizaciones tienen claro que el uso de la tecnologa como apoyo a los procesos de negocio reduce
los costos, haciendo ms eficiente y eficaz a la operacin corporativa. Esta situacin puede evidenciarse
con el uso masivo del E-commerce y las soluciones de E-banking, tanto web como mviles, que le
permiten a los usuarios y cuentahabientes comprar productos y servicios desde la palma de su mano, todo
esto gracias a los sistemas distribuidos que son la base de las redes LAN y de la misma internet.
Es obvio entonces, que muchas empresas de este siglo son tecno dependientes y esta tendencia es
creciente ya que, cada vez ms empresarios confan su negocio a la automatizacin, interconexin
computacional y a los procesos en lnea.
Pero el uso de la tecnologa en los procesos de negocio no solo trae beneficios a las organizaciones y a los
usuarios, sino que muchas veces implica riesgos para la informacin digital, debido a la presencia de
vulnerabilidades en el software y hardware computacional, muchas veces resultado de la falta de madurez
de algunos productos a nivel de ciberseguridad. De manera que la interconexin a la red de redes no solo
Tecnolog@ y desarrollo. ISSN 1696-8085. Vol.XV. 2017
Riesgos de ciberseguridad en las empresas 7
expande el mercado corporativo sinno que tambiin expone a los activos de informaccin de estass
organizacionnes a una gran
n cantidad de aamenazas.
Tanto los seervicios de red como los siistemas de in nformacin weeb y mviles son consideraados sistemass
distribuidos ya que, estnn compuestos por tres elem mentos comunes: un processo servidor, un
n cliente y unn
conjunto dee protocolos que
q son usaddos para consstruir mensajees que les peermiten a am mbos procesoss
comunicarsee y sincronizar sus accioness. Estos elemeentos describen claramente al modelo Cliiente/Servidorr
en el que see basan todass las aplicacioones usadas en e Internet y en las redes LAN que ussan la pila dee
protocolos TCP/IP.
T En la figura 2 se apprecian estos componentes.
c
Figura 2:: Componenttes bsicos deel modelo cliente / servidorr sobre TCP//IP
Esto hace ms
m complejass a este tipo de solucioness y ms susceeptibles a falllos de seguriddad ya que laa
sumatoria de
d los puntos ded entrada y salida consideerados como la superficiee de ataque1 Dr. Partyusa;;
pueden ser utilizados
u por un agresor paara compromeeter los activoss de informaciin.
1
Definnicin dada por el Dr. P
Pratyusa K. Manadhata
M en
n su tesis puublicada en http://reports--
archive.adm
m.cs.cmu.edu/aanon/2008/CM
MU-CS-08-152.pdf
http://www.uax.es/publicacion/riesgos-de-ciberseguridad-en-las-empresas.pdf
8 Enrique Javier Santiago, Jess Snchez Allende
La adopcin de BYOD Bring Your Own Device4 es otro factor que incrementa el riesgo corporativo
afirman algunos investigadores de la Universidad Nacional de la plata, ya que los equipos mviles,
asistentes personales de los empleados y visitantes podran tener vulnerabilidades graves e incluso
malware, que una vez conectados a la red corporativa y de no contar esta con unos buenos controles;
podran servir de punto de acceso aprovechable por un agresor para facilitar el compromiso de los activos
de informacin corporativos.
Segn el reporte anual de ciberseguridad de la compaa Cisco Systems (Cisco 2017 Annual
Cybersecurity Report, 2017)5, en el 2016 se evidenci la expansin de la superficie de ataque de las
empresas que da ms espacio para operar a los hackers maliciosos facilitando su xito, ya que los mviles
representan ms Endpoints que proteger, la integracin de la plataforma tecnolgica con la Nube
expande el permetro de seguridad que hay que controlar. Y adems la creciente integracin a la red
corporativa de diferentes dispositivos que hacen parte del llamado Internet de las Cosas IoT tales como
DVRs, cmaras IP, smartTVs, electrodomsticos, weareables y otros elementos de la domtica6
corporativa como las redes de sensores con las que incluso se forman las smartcities7 hacen uso de
implementaciones de protocolos a los que les falta madures a nivel de ciberseguridad. En el mismo
reporte se afirma que el comportamiento de los usuarios sigue haciendo de estos el eslabn ms dbil de
las organizaciones.
2
http://latam.kaspersky.com/internet-security-center/threats/riskware
3
https://www.paloaltonetworks.com/documentation/glossary/what-is-malware
4
Security and Privacy considerations, publico en http://dl.acm.org/citation.cfm?id=2412373.2412741
5
http://www.cisco.com/c/m/en_au/products/security/offers/cybersecurity-reports.html
6
http://www.cedom.es/sobre-domotica/que-es-domotica
7
http://www.creatingsmartcities.es/
Tecnolog@ y desarrollo. ISSN 1696-8085. Vol.XV. 2017
Riesgos de ciberseguridad en las empresas 9
Una amenazza y una vulneerabilidad porr separado no implican riessgo alguno. E Es claro que debe
d existir unn
activo de informacin con n por lo menoos una debilid
dad al alcance de una entidaad que represeente peligro o
que pueda daar
d a dicho elemento. Diicho de otra manera
m debe existir
e en el m
mismo espacio o y tiempo unn
peligro efecctivo y un objjeto con una debilidad preesente que de ser explotadda por esa am menaza, puedaa
daar al actiivo de algunaa forma. De m manera que laa materializacin del riesgoo intrnseco ess en s mismaa
una probabilidad condicio onal que tomaar un valor entre
e cero (0) y uno (1), deependiendo dee la existenciaa
de por lo meenos una vulnerabilidad y uuna amenaza que
q pueda apro ovechar la debbilidad presen
nte.
F
Figura 3: Com
mponentes dell riesgo
http://www.uax.es/publicacion/riesgos-de-ciberseguridad-en-las-empresas.pdf
10 Enrique Javier Santiago, Jess Snchez Allende
Entonces, si se considera la presencia de una vulnerabilidad y de una amenaza como dos sucesos
independientes, podran expresarse en trminos probabilsticos con la siguiente ecuacin:
Como el riesgo intrnseco es igual a la probabilidad de que exista una amenaza que pueda aprovechar una
vulnerabilidad presente en el activo, entonces:
Entonces:
En el contexto corporativo la materializacin del riesgo tiene un impacto en algn proceso del negocio.
Mientras ms crtico sea proceso o el activo de informacin afectado, mayor ser el impacto de la
amenaza.
De manera que la severidad del riesgo de seguridad de una organizacin es una variable dependiente de la
probabilidad de la materializacin de un incidente y del impacto del mismo a la organizacin y podra
expresarse con la siguiente ecuacin:
Las organizaciones cuentan con una herramienta de mucha utilidad para reducir el riesgo al que estn
expuestas, esta es llamada Anlisis de Riesgos que a partir de la aplicacin de una metodologa
cualitativa como NIST800P, ISO27005 entre otras, o una cuantitativa como Magerit facilitan la
construccin de la Matriz de Riesgos de los procesos definidos en el alcance. Dicha matriz de riesgos
permite identificar las contramedidas y controles necesarios para salvaguardar sus activos de informacin.
Generalmente las empresas consideran a los costos de los controles y su implementacin como un factor
importante para la adquisicin y puesta en produccin de las salvaguardas.
Considerando que el Anlisis de riesgos est ms orientados a los procesos, es una buena prctica de
muchas organizaciones realizar un proceso de identificacin, evaluacin de vulnerabilidades en el marco
de un test de penetracin a su infraestructura tecnolgica. Estas actividades de hacking tico se apoyan
en metodologas como por ejemplo OSSTMM de ISECOM, ISAFF, CEH de ECCouncil y OWASP para
el testing de aplicaciones web y mviles.
Tecnolog@ y desarrollo. ISSN 1696-8085. Vol.XV. 2017
Riesgos de ciberseguridad en las empresas 11
El desarrollo de aplicaciones de muchos fabricantes de software es una carrera contra el tiempo con el fin
de sacar al mercado nuevas versiones de sus aplicaciones, que finalmente son productos que deben ser
comercializados lo ms rpido posible para no perder mercado.
Esta carrera contra reloj, junto con las malas prcticas de ingeniera de software, la ausencia o pobre
adopcin de metodologas de calidad de software como CMMI8 ms la falta de entrenamiento en
desarrollo seguro9 y la concienciacin en ciberseguridad, garantiza la presencia de Bugs en las
aplicaciones, como los errores de divisin por cero, bucles infinitos, deadlocks, etc. Y omisiones, como
la falta de gestin de excepciones, omisin en declaracin de tipos de variables, falta de
dimensionamiento de las mismas y omisin de funciones de validacin de parmetros. Estos hechos
conllevan a la aparicin de vulnerabilidades en el cdigo fuente que podran ser explotables.
Estas vulnerabilidades son llamadas Vulnerabilidades de da Cero10 cuando son recin descubiertas y
no existe ninguna contramedida para reducir el riesgo que representan. Y muchas de ellas son
comercializadas en el mercado negro por hacker maliciosos con nimo de lucro. Una vez el fabricante o
un tercero, desarrollan el parche o cdigo corrector del fallo, y este se publica generalmente por parte de
algn Centro de Respuesta a Incidentes (C.E.R.T) entonces pasa a ser una vulnerabilidad comn.
En muchas situaciones las vulnerabilidades son el resultado del uso de funciones, mtodos y
procedimientos de algunos lenguajes de programacin que tienen fallos de seguridad como ejemplo de
ello la funcin strcpy(var1,valor) para lenguaje C que no valida la cantidad de memoria requerida por la
variable destino para poder almacenar el valor que se pasa como parmetro causando un fallo en la
disponibilidad de la aplicacin por el desbordamiento del buffer. A pesar de ello se siguen incluyendo en
libros de referencia empleados en cursos de desarrollo de software, y siguen siendo usadas por
desarrolladores profesionales.
8
https://www.sei.cmu.edu/cmmi/
9
https://www.owasp.org/images/9/93/Desarrollo_Seguro_Principios_y_Buenas_Practicas.pdf
10
Definicin de Vulnerabilidad de da cero, segn ESET, http://www.welivesecurity.com/la-
es/2015/02/25/que-es-un-0-day/
11
Stack Buffer Overflow por vulnerabilidad del API de PHP, https://vuldb.com/es/?id.97277
http://www.uax.es/publicacion/riesgos-de-ciberseguridad-en-las-empresas.pdf
12 Enrique Javier Santiago, Jess Snchez Allende
El problema se hace mayor con los desarrollos de software ms grandes como los sistemas operativos.
Estos estn soportados por un elevado nmero de paquetes de libreras (shared Objects Dynamic
Library Link, entre otras) que crecen con cada nueva versin y con cada actualizacin, siendo
desarrollados por diferentes programadores, muchos de estos pertenecientes a pequeas empresas de
software distribuidas en el mundo de manera que en muchas situaciones y a pesar de gran cantidad de
desarrollos estn documentados, los programadores solo llegan a conocer los nombre de las funciones,
procedimientos o mtodos y el tipo de parmetros que necesitan para continuar con su desarrollo. Esta
situacin dificulta la deteccin de cdigo dbil que pueda representar alguna vulnerabilidad explotable.
Adems algunos lenguajes de programacin e incluso productos de software como motores de Bases de
datos incluyen funciones y procedimientos almacenados, por ejemplo XP_CMDSHELL para MSSQL
Server, que de estar habilitados, podran ser usados por un agresor externo para ejecutar comandos
peligrosos a nivel del sistema operativo que podran afectar la seguridad de la informacin de la
organizacin.
Ejemplo de las vulnerabilidades a las que se exponen los activos de informacin por la configuracin de
productos de software por defecto se hizo pblico en julio del 2015 cuando un grupo de investigadores de
seguridad pudo evidenciar la exposicin de 600 TBytes de bases de datos expuestas por un fallo en la
configuracin del motor de bases de datos MongoDB12 en versiones anteriores a la 2.4.14 que permiten
el acceso desde todas las interfaces de red del host (IP 0.0.0.0) y no permiten el bind_ip que permitira
restringir el acceso a travs de una IP especifica.
Segn el artculo de la empresa Globb Security, el uso de software ilegal en las empresas impacta
directamente en su ciberseguridad ya que mucho de este software que generalmente se obtiene de fuentes
poco confiables, contiene malware que compromete los sistemas corporativos como resultado de la
ausencia de polticas y controles de instalacin de software. Este mismo informe confirma que el 25%
del software ilegal es usado en sectores financieros como la banca y las aseguradoras, tambin revela que
26% de los empleados admitieron haber instalado software de fuera de la compaa en los ordenadores de
sus empresas.
5.1 Malware
Muchos de los incidentes informticos que se presentan en las organizaciones son materializados a travs
del uso de Malware y en otras situaciones con el uso de Riskware. El autor considera al Malware como
una herramienta de software construida por un programador malicioso con la cual automatiza uno o ms
procedimientos de explotacin de vulnerabilidades de algunos sistemas con el fin de afectar alguna de las
caractersticas de los activos de informacin de su blanco.
Entonces, el software malicioso podra considerarse como una amenaza automatizada por su creador para
aprovechar las debilidades de la infraestructura tecnolgica de las organizaciones con diversos fines, entre
ellos:
12
Publicacin exposicin de 600TB de bases de datos https://www.redeszone.net/2015/07/23/600tb-
de-bases-de-datos-expuestas-por-un-fallo-de-configuracion-de-mongodb/
Tecnolog@ y desarrollo. ISSN 1696-8085. Vol.XV. 2017
Riesgos de ciberseguridad en las empresas 13
La gua de estudio de la certificacin de hacking tico de ECCouncil, define que el software malicioso
est formado por las siguientes partes:
Vector de infeccin/ propagacin: Rutina que incluye el cdigo que usa el malware para
propagarse, infectar distribuirse.
Payload: porcin de cdigo que ejecuta la accin maliciosa propsito del malware como la
destruccin de ficheros, la apertura de un puerto, el registro de acciones del usuario.
Algunos productos de malware incluyen otros componentes adicionales como el dropper encargado de
garantizar la propagacin y persistencia del cdigo malicioso, u otro componente llamado Trigger
bomba lgica, encargada de ejecutar el payload en el momento en el que ocurra un evento como un click
del usuario o el cumplimiento de una condicin como la llegada de una fecha u hora.
Muchos fabricantes antimalware han clasificado a los diferentes productos de software malicioso de
acuerdo al propsito del malware. Considerando que es posible encontrar productos de malware
diferentes que tengan el mismo Payload, a continuacin se presenta la clasificacin por familias
considerando vectores de propagacin comunes:
Virus
Son programas maliciosos que se ejecutan en diferentes tipos de ordenadores y que requieren de un
fichero anfitrin para ocultar su cdigo e infectar el sistema vctima, de manera que son ejecutados con el
archivo a peticin del usuario o del sistema operativo; existen muchas variantes, entre ellas se encuentran:
Cavity o viruses, incluyen su cdigo dentro del rea de memoria de otros archivos
Virus de Macro, incluyen su cdigo dentro de rutinas de hojas electrnicas y ofimtica
Virus de camuflaje, usan nombres y rutas de componentes del sistema operativo.
De Sector de Arranque, ubica parte de su cdigo en el sector de arranque del disco duro
Cluster viruses, altera la tabla de asignacin de archivos del sistema de archivos.
Stealth Viruses, emplean diversas tcnicas de evasin para protegerse del antivirus
Virus de Encripcion, que evitan la deteccin cifrando su cdigo.
Gusanos
Software malicioso que no requiere de un anfitrin para su propagacin. Se caracteriza por propagarse a
travs de la plataforma de red de las organizaciones. Aprovecha los servicios en ejecucin y algunos
copian su cdigo en el rea de memoria leda por los sockets de estos servicios con el fin de ser enviados
como parte de los mensajes que intercambian servidores y clientes.
http://www.uax.es/publicacion/riesgos-de-ciberseguridad-en-las-empresas.pdf
14 Enrique Javier Santiago, Jess Snchez Allende
Troyanos
Son productos de malware diseado para facilitarle al agresor acceso cubierto al sistema vctima,
generalmente estn compuestos por tres elementos:
Spyware
Malware desarrollado para ejecutar tareas de espionaje de las actividades ejecutadas en el sistema
comprometido. Muchos de estos productos almacenan el registro de acciones del usuario en un fichero
oculto/codificado o cifrado, y algunos otros envan esta informacin directamente al agresor a travs de la
red usando protocolos como SMTP/HTTP e incluso el antiguo IRC.
Keylogger: software que espa que registra el keystrokes13 del usuario clandestinamente.
Screenlogger: tipo de Spyware captura screenshots14 del ordenador del usuario
Videologger: software espa que graba en porciones de video las actividades del usuario,
generalmente utiliza algoritmos de compresin para reducir el espacio de almacenamiento y
transporte requerido.
Existen tambin productos de espionaje que incluyen de forma modular todas las funciones antes
descritas. Estos productos se consideran suite de espionaje.
Backdoors
En trminos del malware para sistemas TCP/IP, las puertas traseras son rutinas de cdigo que al
ejecutarse suben un proceso en la memoria RAM del ordenador victima que posee un mdulo de
comunicaciones con un numero de puerto lgico del nivel de transporte, a travs del cual el agresor podr
tener acceso al sistema comprometido.
Generalmente estn embebidos de forma oculta en algunos sistemas de informacin, como tambin
algunos otros productos de malware los incluyen como parte de su Payload.
13
Teclear del usuario
14
Pantallazos del escritorio del ordenador del usuario
Tecnolog@ y desarrollo. ISSN 1696-8085. Vol.XV. 2017
Riesgos de ciberseguridad en las empresas 15
Rootkits
Producto de Malware que compromete al sistema operativo a travs del reemplazo componentes
importantes del mismo o suplantando llamadas e interrupciones al sistema (hooking) y que es capaz de
ocultar procesos, ficheros, programas, directorios y archivos de configuracin para reducir su deteccin y
la de otros productos de malware que se ejecuten en el sistema vctima.
Spoofeadores
Productos de software usados para falsificar mensajes completos o parmetros de diversos protocolos de
comunicaciones usados en redes LAN y en la Internet con el fin de interceptar trfico de un servicio para
capturar informacin sensible, redireccionarlo a un host malicioso o impedir el acceso a los activos de
informacin.
Hijackers
Herramientas de software usadas para interceptar trfico y secuestrar sesiones activas de varios usuarios
de la plataforma de red de las organizaciones. Dentro de sus mtodos de intercepcin se encuentran:
Session fixation: asignacin de un valor conocido para la sesin del usuario vctima.
Session side jacking: secuestro de sesin apoyado en el uso de sniffers.
Browser hijacking: secuestro de la informacin de sesin modificando el comportamiento del
navegador del usuario vctima.
Inyeccin de cdigo: envi de cdigo de scripting a la plataforma victima para obtener cookies e
informacin de variables de sesin. Tpicamente sobre plataformas web.
Los exploits son apreciados en el mercado negro y muchos de ellos pueden ser comercializados en
darknets como la Deepweb, principalmente los de da cero que podran alcanzar precios del orden de los
USD $6.000.
http://www.uax.es/publicacion/riesgos-de-ciberseguridad-en-las-empresas.pdf
16 Enrique Javier Santiago, Jess Snchez Allende
Bots
Son producttos de malwarre del siglo X XXI, construidos principalm mente por proggramadores coontratados porr
redes de ciibercriminaless, que tienen caractersticaas de varias familias de malware com mo: troyanos,,
backdoors, rootkits, spy yware princip almente y qu ue son usado os para tomaar el control total de loss
ordenadoress y smartphon nes infectadoos con el fin de ponerlos a la disposiicin de una organizacinn
cibercriminaal a travs de un servidor dde C&C16 (tam
mbin llamado o C2) que es aadministrado por
p un hackerr
malicioso coon el rol de p
pastor o encar
argado de la geestin de los drones
d o zombbies17.
Figuraa 4: Proceso de
d creacin de
d una botnet
En la figurra anterior exxtrada del ccurso oficial de certificaciin de hackiing tico de la empresaa
ECCouncil18 se muestra ded forma didctica tanto ell proceso de creacin,
c incrremento de la poblacin dee
ordenadoress zombies y la agresin que realizan muchas botnets a travs de la IInternet.
15
Termmino definido por primera vez por Miccrosoft para reeferirse a reddes usadas paara publicar y
distrribuir contenid
do digital de fforma annima
16
Infraaestructura de servidores de comando y control que adm ministran los nnodos de una Botnet
17
Dronne/Zombie es un u trmino ussado para desccribir a un ordenador que haace parte de un
na botnet
18
http:///www.eccoun ncil.org
Tecnolog@ y desarrollo. ISSN 1696-8085. Vol.XV. 2017
Riesgos de ciberseguridad en las empresas 17
Son considerados como la evolucin de los troyanos y una fusin de estos con las backdoors o puertas
traseras que permiten a agresor establecer una conexin remota (generalmente en reversa) para tener
acceso al ordenador comprometido. Muchas campaas APT19 hacen uso de este tipo de malware para
ejecutar actividades de reconocimiento, salto de sistemas de autenticacin, descarga y propagacin de
malware otros productos de software malicioso y acceso a informacin sensible de las organizaciones.
Ransomware:
Producto de software malicioso con tendencia creciente a nivel mundial, que se caracteriza por hacer uso
de criptografa Simtrica y Asimtrica tambin conocida como hibrida para secuestrar los ficheros de los
ordenadores y mviles infectados para luego pedir un rescate por la entrega de la llave criptogrfica
necesaria para descifrar los ficheros comprometidos, tpicamente el pago se solicita en Bitcoins e incluso
se le da soporte al usuario en la realizacin del pago del rescate.
En este orden de ideas, los ataques a los sistemas distribuidos se pueden clasificar de varias maneras, por
ejemplo segn la caracterstica de los activos de informacin que se vea afectada, de acuerdo a la capa de
la arquitectura TCP/IP que afecta y de acuerdo al componente del sistema distribuido que es impactado.
El ataque de Hombre en el Medio, MitM Sniffing Activo, es un ataque que se realiza a los protocolos
de comunicaciones entre dos host, muy frecuente en redes LAN Ethernet conmutadas en donde el agresor
previamente conectado a la red cableada o inalmbrica intercepta el trfico entre el Gateway y el resto de
los ordenadores o entre clientes y servidor por ejemplo a travs del envo de mensajes ARP gratuitos que
envenenan las tablas ARP de los Host por la ausencia de autenticacin. En entornos WAN el MitM podra
hacerse efectivo a travs de la manipulacin de las tablas de enrutamiento, tambin a travs del uso de
servidores proxy e incluso como resultado de un proceso exitoso de inyeccin de cdigo en una
aplicacin web. Finalmente y sin importar el entorno y la tcnica usada, estas acciones terminan en el
compromiso de la confidencialidad de credenciales, archivos adjuntos, consultas sql, registros de bases de
datos y de todo el trfico que se envi a travs de la red sin ningn tipo de cifrado.
El Ataque de ARP spoofing, muy frecuente en las redes LAN Ethernet conmutadas permite que un
agresor pueda comprometer la integridad de las tablas ARP usadas por el stack Ethernet y TCP/IP para
crear un vnculo entre direcciones IP y MAC; con esta actividad el agresor podra afectar la
confidencialidad e incluso la disponibilidad de los servicios.
http://www.uax.es/publicacion/riesgos-de-ciberseguridad-en-las-empresas.pdf
18 Enrique Javier Santiago, Jess Snchez Allende
texto claro, solo reenva el criptograma o el hash como ocurre por ejemplo con el ataque de repeticin
sobre sistemas operativos Windows llamado Hash Injection, en el que se hace uso de la huella dactilar
LM HASH, NT HASH con el nico fin de iniciar una sesin ilegal en nombre de un usuario legtimo.
Con esta agresin se podra comprometer la confidencialidad de la informacin de la cuenta secuestrada.
Otro ataque que afecta la seguridad de los sistemas de informacin web es conocido como HTTP
Response Spliting, y se basa en la manipulacin de campo input del mensaje HTTP de respuesta
adicionando un URL malicioso que podra permitirle al agresor redirigir al usuario victima a este sitio.
Ataque de flooding inundacin. Se clasifican como ataques de inundacin a cualquier accin que
genere trfico de uno o varios protocolos que tengan como destinos HOST o equipos de comunicaciones.
Uno de los ms usados para afectar a las redes LAN y MAN basadas en Metro Ethernet es el MAC
FLOOD, que consiste en el envo masivo de tramas Ethernet y Metro Ethernet con direcciones MAC
destino y origen aleatorias con el fin de llenar las tablas de conmutacin o CAM de los switches.
El ataque Wireless cracking, consiste en la extraccin del PassPhrase usado por los protocolos de
autenticacin de redes WLAN basadas en el estndar IEEE 802.11 como WEP y las variantes de WPA.
La tcnica usada por el agresor se basa en obligar a los ordenadores de usuarios legtimos conectados a la
red Wireless a desasociarse del punto de acceso para posteriormente atrapar copias del trfico de
autenticacin que contendr para protocolos como WEB basados en el algoritmo RC4 un conjunto de
vectores de Autenticacin que incluirn el deseado PassPhrase. Con las credenciales obtenidas el Host
agresor podr conectarse a la red.
IP y MAC Spoofing son actividades realizada para reemplazar o falsificar una direccin MAC o IP con
el fin de dificultar la localizacin real del host agresor. Existen herramientas como SCAPY del grupo
THC, que permiten construir paquetes IP completos con el direccionamiento falsificado y productos
como HPING, que pueden recibir la direccin IP falsificada para luego pasarla como parmetro al sistema
operativo que la usar para construir un paquete IP legtimo. El IP Spoofing realmente no es un ataque,
sino una actividad maliciosa que puede anteceder a un ciberataque tan peligroso como el SYN
FLOODING.
El ataque de DNS spoofing, es una agresin que puede ejecutarse usando varias tcnicas y que podra
comprometer desde un solo host hasta el sistema autnomo de un Internet Service Provider ISP e incluso
podra llegar afectar la resolucin de nombres de toda la internet. Podra materializarse suplantando la
respuesta autoritativa del SOA del dominio a suplantar, envenenando la cache de los STUB DNS Servers,
e incluso realizar una transferencia de zona con registros falsificados hacia el DNS Server Secundario.
Ataque de Phishing, esta actividad est asociada con una de las tcnicas de la Ingeniera Social orientada
al usuario final pero apoyada en tecnologa tpicamente orientada a la WEB. La materializacin de este
ataque requiere la ejecucin de unas acciones previas como por ejemplo el Pharming o el DNS Spoofing
para afectar la resolucin de nombres del host victima junto con la puesta en servicio de un servicio WEB
en el que el agresor publica una versin falsificada del sitio que de ser visitado por el usuario incauto
comprometer la confidencialidad de sus credenciales de acceso e incluso de sus activos de informacin.
Tecnolog@ y desarrollo. ISSN 1696-8085. Vol.XV. 2017
Riesgos de ciberseguridad en las empresas 19
Las tcnicass usadas denttro de las cammpaas APT y sus producctos de malw ware se caractterizan por laa
ejecucin dee tareas de mo
onitorizacin y ciberespionaaje. El resultaado de varias iinvestigaciones incluyendoo
el informe de Kasperky labs sobre eel proyecto sauron
s APT relaciona a ggobiernos leg gtimos comoo
orquestadorees de muchos de estos ataquues informticcos.
Figu
ura 5: Caracttersticas de los
l ataques dirigidos
d y perrsistentes.
La figura anterior
a muestra de form ma ms didcctica la inefeectividad de los sistemass de defensaa
tradicionaless ante las ameenazas persisteentes avanzad
das.
http://www.uax.es/publicacion/riesgos-de-ciberseguridad-en-las-empresas.pdf
20 Enrique Javier Santiago, Jess Snchez Allende
Ejemplo de d estas cam mpaas fue STUXNET descubierta en el 20110 por la empresa dee
seguridad VirusBlokAda
V a20 ubicada enn Bielorrusia; su bot con caaractersticas dde gusano y software
s espaa
fue el prim
mero de su cllase con habiilidades para reprogramar sistemas inddustriales SCA ADA. Todoo
pectores de la agencia interrnacional de energa atmicca que visitaban una plantaa
comenz cuuando los insp
nuclear irann en Natanz,, notaron quee varias mq quinas centriffugas usadas para enriqueecer el uranioo
empezaron a fallar.
Segn la emmpresa de cibeerseguridad S Symantec en su s informe sob bre este hechoo, El productoo de malwaree
probablemennte llego a lo os ordenadorees de la plan nta nuclear a travs de unn pendrive US SB infectado;;
gracias a suss caractersticas de gusano, el bot se prop
pago a travs de la plataform
ma de red hassta localizar ell
software que controlaba a las centrifuggas para posteeriormente copiar parte de su cdigo maalicioso en l;;
tomando liteeralmente el control de estaas mquinas.
Una vez inssertado el pendrive en la raanura USB del ordenador se inicia la seccuencia de pro opagacin dell
bot copiando unos fichero os temporaless al disco duro
o, posteriormeente carga en memoria el primer
p ficheroo
temporal approvechando una vulnerabbilidad del sisstema operatiivo Windowss, luego llevaa a cabo unaa
operacin ded Hooking (tcnica utilizaada por alguno os rootkits paara ocultar conntenido malicciosos) con ell
fichero kerrnell32.dll, luego
l repite el proceso co on el fichero Ntdll.dll e identifica la l llamadas a
libreras esppeciales del sisstema operativvo. Finalmennte carga el segundo ficheroo ejecutable quien
q recibe ell
control de laa ejecucin traansformndosse en un .dll.
Figura 6: flu
ujo de ejecuciin va USB del
d bot STUX
XNET
20
http://anttivirus.by/en//index.shtml
Tecnolog@ y desarrollo. ISSN 1696-8085. Vol.XV. 2017
Riesgos de ciberseguridad en las empresas 21
el software de gestin llaamado Simat atic manager.. El bot reemp plazaba la libbrera .dll en mencin
m paraa
tomar el conntrol del sistem
ma y reemplazzar parte de su
u cdigo con rutinas
r malicioosas.
Muchas AP PT siguen activas, entre eellas pueden citarse a: Po oseidon21 Pllataforma de Ciberataquess
compleja quue usa backd doors y afeccta a sistemas Windows. Adwin22 Pla lataforma de Ciberataquess
compleja quue usa backdo oors y afecta a sistemas Windows/Linuxx/OS X y Anddroid. Duqu 2,0 2 se basa enn
mas Windows, BlackEnergy2
trojanos y affecta a sistem 23 Plataformaa de Ciberataqques complejaa que Afecta a
sistemas Wiindows/Linux x /Cisco OS. C CloudAtlas24 basada en tro
ojanos, afectaa sistemas Winndows/Linux//
Android/iOS S.
6.1 Estadoo del arte dee las amenaazas y tendeencias a corrto plazo
Segn el infforme Cyber Threats to thee Mining Ind dustry de Tren nd Micro desppus de los effectos nocivoss
de muchas ded las campa as APT en vaarios sectoress principalmen nte en el finannciero, y tras ser enfocadass
inicialmentee al espionajee industrial, eestas estn sieendo reutilizaadas y reorienntadas para im mpactar en laa
disponibilidad de los activos de la induustria de la minera,
m de serv vicios pblicoos y otras que hacen uso dee
sistemas SCCADA.
Los sectoress objetivos dee las campaaas APT antes mencionadass son: el elcttrico, el de minera y el dee
transporte feerroviario, tal como se apreecia en la figurra anterior.
21
Camppaa APT desscubierta en ell 2015
22
Camppaa APT desscubierta en ell 2013
23
APT Descubierta en
e el 2013 y qque sigue activ
va
24
APT descubierta en
e Agosto del 2014
http://www.uax.es/publicacion/riesgos-de-ciberseguridad-en-las-empresas.pdf
22 Enrique Javier Santiago, Jess Snchez Allende
La industriaa minera actuaal cuenta conn una infraestrructura de comunicacioness que soporta a una red dee
dispositivos que recolecttan, reciben y transmiten informacin utilizada parra garantizar la operacinn
minera. Estta red de comuunicaciones aalmbrica e inalmbrica no solo interconnecta sensoress y actuadoress
sino tambinn ordenadoress con informaccin sensible que es potenccialmente impportante para compaas
c dell
mismo sectoor, para organizaciones gubbernamentales y grupos al margen
m de la leey que comerrcializan datoss
robados.
Con el uso del motor de bsqueda en lnea de ordeenadores conectados a la innternet llamaddo Shodan255
usado por muchos
m hackerrs; un grupo dde investigado
ores de Trend Micro pudierron localizar y tener accesoo
25
da de ordenaddores en linea, https://www.shodan.io/
Motoor del busqued
Tecnolog@ y desarrollo. ISSN 1696-8085. Vol.XV. 2017
Riesgos de ciberseguridad en las empresas 23
al software de
d interface Hombre
H Maquuina de varios sistemas indu
ustriales afirm
man en informee previamentee
mencionadoo.
El tiempo de
d CPU y dem ms recursos de los ordenadores zombiies es usado ppara minar Bitcoins,
B robarr
criptomoneddas, generar spam, propaggar diversos tipos de mallware, entre ootras actividaades como laa
realizacin de
d ataques de denegacin dde servicios co
omo el antes mencionado.
m
Figura
a 9: Incidentees perdida dee datos segn el nmero dde empleados
26
https://arsttechnica.com//security/2016
6/01/first-know
wn-hacker-cauused-power-ou utage-signals--
troubling-esscalation/
27
Ataqque de Denegaacin de serviccio distribuido
o volumtrico o basado en ppaquetes alterados
http://www.uax.es/publicacion/riesgos-de-ciberseguridad-en-las-empresas.pdf
24 Enrique Javier Santiago, Jess Snchez Allende
Con referenncia al robo ded datos, McA Afee informaa que las fugaas insignificaantes de inforrmacin y lass
motivacionees inocentes han
h quedado een el pasado; la principal motivacin
m de los agresoress es el dinero..
Segn el repporte de Verizon 2016 D Data Breach In nvestigations28 el 89% dee las fugas dee informacinn
fueron provvocadas por motivaciones
m eeconmicas conc tendenciaa al alza desdde el ao 2013, otra de lass
razones idenntificadas fue el espionaje ppor parte de naaciones que deesean aumentaar su influencia poltica.
En la figuraa anterior se aprecia que llas empresas ms grandes representadass por el mayo or nmero dee
s las ms attractivas para el robo de daatos de acuerd
empleados son do con los ressultados de la investigacinn
de Intel Seccurity que co
onfirma que laa principal mo
otivacin es ecconmica.
28
Inform
me sobre robo
o de informaciin, http://ww
ww.verizonentterprise.com/vverizon-insigh
hts-lab/dbir/
Tecnolog@ y desarrollo. ISSN 1696-8085. Vol.XV. 2017
Riesgos de ciberseguridad en las empresas 25
Puede aprecciarse en la figgura anterior que tanto las organizacionees pequeas ccomo las grand des hacen usoo
de la configguracin bsiica en sus siistemas DLP que se basa en expresionnes regularess29. Estas sonn
efectivas parra identificar la fuga de dattos estructurad
dos como los que tpicamennte se usan en
n las empresass
pequeas peero no tienen la misma efeectividad con datos no estrructurados coomo ficheros de texto o dee
ofimtica. Por esto las empresas
e mss grandes gen neralmente rep
portan mayorr cantidad de incidentes dee
seguridad reeferentes a fuggas de informaacin.
Segn McA Affe, el proceso o de extraccin de informaccin sigue bassndose en anttiguos mtodo
os de hacking,,
el uso de malware
m y los ataques de inggeniera sociial apoyndose con ms freecuencia en laa informacinn
obtenida de medios sociaales. La adquuisicin de loss datos sigue realizndose a travs de medios
m fsicos..
En el 40% de los incideentes reportaddos se usaron n porttiles y pendrives U USB. De form ma remota loss
mtodos ms usados paraa sacar inform macin de las empresas son n a travs de protocolos web,
w de correoo
electrnico y las transfereencias de ficheeros.
29
Exprresin regular:: secuencia dee caracteres qu
ue define un patrn a buscarr
30
Com
mpaa de ciberrseguridad par artnet de Intel
http://www.uax.es/publicacion/riesgos-de-ciberseguridad-en-las-empresas.pdf
26 Enrique Javier Santiago, Jess Snchez Allende
En la grfica anterior se aprecia el creecimiento del Ransomware desde el terceer trimestre del
d 2014 hastaa
mitad del 20016 segn el in mpresa McAffee Labs sobree amenazas31.
nforme presenntado por la em
Las predicciiones para este 2017 no soon muy alentadoras segn Eset E Security een su informee de tendenciaa
para el 20177 titulado La seguridad com mo rehn hacce referencia a una modaliddad de ransommware llamadaa
por estos innvestigadoress ransomwarre de las cosas o RoT T que abre lla posibilidad d de que loss
ciberdelincuuentes puedan secuestrar disspositivos parra luego exigirr pago por el rrescate que le devolvera ell
control al ussuario. Por ottra parte el innforme antes mencionado
m muestra
m que esste tipo de maalware seguir
afectando al sector salud d tal como loo ha hecho a finales del 2016, 2 esta infformacin coincide con ell
informe sobre amenazas de d McAfee quue justifica la situacin debiido a la falta dde soluciones de seguridad,,
al uso de software anticuaado e incluso a dispositivos mdicos dessactualizados,, todo esto accompaado dee
la necesidadd de tener acceso a la info formacin en tiempo real porp situacionees en donde se podra verr
comprometiida la vida de d los pacienttes. El in
nforme anterior hace refe ferencia a un incidente dee
ciberseguriddad a un prov veedor de serv os de Maryland a los que se les peda una cantidadd
rvicios mdico
31
Inforrme McAfee, http://www.m
h mcafee.com/uss/resources/rep
ports/rp-quarteerly-threats-seep-2016.pdf
Tecnolog@ y desarrollo. ISSN 1696-8085. Vol.XV. 2017
Riesgos de ciberseguridad en las empresas 27
importante de Bitcoins32 por el rescate de los datos; Este proveedor decidi desconectar parte de su
plataforma de red para eliminar los mensajes emergentes que reciba cobrando la extorsin; como
resultado la atencin medica se transtorno ya que no era posible concertar citas mdicas, ni consultar
registros de sus bases de datos; el resultado fue la interrupcin de los servicios mdicos de la institucin.
Dentro de las tendencias del riesgo para las organizaciones se vislumbra un incremento en los diferentes
tipos de ataques, principalmente de denegacin de servicio generados por botnets compuestas por DVRs,
NVRs, cmaras de video vigilancia IP, sensores y dems dispositivos hechos zombies y controlados por
C&Cs33.
Tambin parece ser factible un incremento en los ataques a las diversas plataformas Cloud orientados al
SaaS34 y a la IaaS35
El modelo de negocios que representa el ransomware ha hecho factible la tendencia de del incremento del
Ransomware-As-a-Service o RaaS, en donde organizaciones cibercriminales desarrollan la plataforma
tecnolgica incluyendo: sitio web, ejecutable, payload builder, archivos de texto, notas de alerta y la
infraestructura para facilitar los pagos en lnea en bitcoins. Posteriormente los aspirantes a
cibersecuestradores que lo deseen, recibirn el entrenamiento y el acceso a las herramientas dejando como
ganancia para la organizacin criminal una tasa alrededor del 20% de la extorsin. Algunas plataformas
como estas ya han sido identificadas, una de ellas es el resultado de un proyecto conocido como Shark
descubierto por Symantec.
La compaa IBM en su informe titulado X-force Research 2016 Cyber Security Intelligence Index
revelo que la mayor cantidad de incidentes de seguridad reportados estn relacionados con el acceso no
autorizado y en segundo lugar con el cdigo malicioso.
Los principales mtodos de propagacin utilizados por los agresores para comprometer los activos de
informacin son realmente diversos, podra decirse que los atacantes utilizan cualquier tcnica que este a
su alcance para materializar la agresin.
Estas descargas no autorizadas podran darse por ejemplo al hacer click sobre una ventana emergente del
navegador, al consultar el contenido de un mensaje de correo electrnico en formato HTML o que
contenga algn script, incluso por el simple hecho de visitar un sitio web.
32
Criptomoneda digital
33
Servidores de Comando y Control
34
Software como servicios
35
Infraestructura como servicio
http://www.uax.es/publicacion/riesgos-de-ciberseguridad-en-las-empresas.pdf
28 Enrique Javier Santiago, Jess Snchez Allende
Javascript sigue siendo usado como vehiculo de infeccin de sitios web segn reporta el portal de noticias
de la compaa de ciberseguridad Sophos36, ya que este lenguaje de script hace parte integral de las
soluciones web junto con HTML y las hojas de estilo CSS. Incluso esta misma organizacin descubri
una nueva variedad de ransomware escrita totalmente en este lenguaje de scripting, gracias a que el
sistema operativo Windows permite la ejecucin de cdigo javascript y a que su ejecucin no genera una
alerta de seguridad ni requiere permisos de administrador.
Segn informa la Oficina de Seguridad del Internauta OSI37, del instituto Nacional de Ciberseguridad
(INCIBE) en su servicio antibotnet. Productos recientes de malware como el troyano bancario que apoya
a la Botnet Nercus que afecta sistemas operativos Windows 7/8/10 utilizan como mtodo principal de
propagacin el antes descrito.
Otro importante vector de ataque son los Exploits remotos. El mayor xito de este vector de ataque tiene
mucho que ver con la falta de actualizacin de los productos de software de los equipos de las empresas y
de los usuarios que le facilitan a los ciberdelincuentes obtener informacin de las vulnerabilidades
conocidas y algunas veces de da cero de sus potenciales vctimas que facilitan la construccin de este
tipo cdigo malicioso.
Hoy en da es fcil conseguir en el mercado negro38 los llamados exploit Kits, que no son ms que un
conjunto de herramientas de malware que permiten fcilmente explotar debilidades conocidas con un
conocimiento tcnico mnimo. Segn la empresa Eset Security, estas herramientas hacen parte de un gran
negocio de la ciberdelincuencia llamado Malware as a service que permiten evadir los sistemas de
seguridad y que cualquier agresor puede adquirirse de forma modular con servicio de soporte incluido.
Es muy comn que estos Exploit Kits cuenten con una interface de usuario intuitiva que permita su fcil
uso a usuarios noveles garantizando a los creadores de estas herramientas un negocio bastante lucrativo.
Muchas de estas herramientas de malware permiten a sus clientes, crear binarios para explotar
vulnerabilidades particulares, agregar tcnicas de evasin de antimalwares e incluso armar su propia
Botnet estableciendo un servidor de Comando y Control (C2) a travs del cual enviar correo spam o
publicar en los sistemas comprometidos sitios web maliciosos que finalmente le permiten al agresor
obtener nmeros de tarjetas de crdito, credenciales y todo tipo de informacin confidencial para
posteriormente sacar provecho propio de ellas o comercializarlas en el mercado negro.
Un ejemplo de estos Exploit kits es Phoenix39, desarrollado por Alex Udakov arrestado en Rusia en el
2013, por desarrollar y comercializar software malicioso. Este producto de software analizaba el
Browser de la vctima buscando debilidades explotables incluso en sus plugins, los de Acrobat Reader y
el JRE; una vez detectada la vulnerabilidad, el Exploit kit instalaba adware, spyware y software de
phising en el sistema vctima.
36
https://www.sophos.com/es-es/security-news-trends/security-trends/malicious-javascript.aspx
37
https://www.osi.es/es/servicioantibotnet/info/necurs
38
http://www.welivesecurity.com/laes/2016/06/13/cambioskitsdeexploits/
39
https://krebsonsecurity.com/tag/phoenixexploitkit/
Tecnolog@ y desarrollo. ISSN 1696-8085. Vol.XV. 2017
Riesgos de ciberseguridad en las empresas 29
Figura
a 13: Volumeen de trfico considerado
c como SPAM en Internet.
Los vectores de ataque y mtodos de ppropagacin antes descritos tienen una mmayor probabilidad de xitoo
con el uso de
d la estrategiaa que ha demo
mostrado los mejores
m resultaados explotanddo la confianzza del eslabnn
ms dbil de
d la seguridaad de las orgaanizaciones, las
l personas. Esta estrateggia es llamad da Ingenieraa
Social.
8. Conclu
usiones
En este artculo se ha abordado
a el rriesgo al que estn expuestos los activvos de inform macin de lass
empresas enn la segunda dcada
d del sigglo XXI; parttiendo de la relevancia de llos activos dee informacinn
consideradoos como la maateria prima dee los procesoss de negocios y el activo ms difcil de reecuperar si noo
se salvaguarrda correctameente.
La Tecnodeependencia im mplica en s mi
misma una nueeva responsabiilidad que debbe ser tenida en cuenta porr
las organizaaciones de tod
do tipo, ya quee muchas de lasl herramienttas tecnolgiccas que se con nsideran clavee
para los proocesos de neggocios, princippalmente los de misin crrtica o de corre de las emp presas, tienenn
embebidas vulnerabilidad
v des que de serr explotadas podran converrtir a la infraesstructura tecnnolgica en unn
arma de dooble filo, que afectaran laa disponibilid dad, confidenccialidad e inttegridad de lo os activos dee
informacinn llegando inclluso a paralizaar las operacio
ones y a afectaar las finanzass de las empreesas.
Despus de documentar los principalees fallos tecn nolgicos de la infraestrucctura computaacional de lass
empresas, es claro que laas vulnerabiliidades estn presentes
p en casi
c todos loss sistemas tan nto a nivel dee
hardware coomo de softwaare, y que sonn el resultado de la omisin n de la seguriddad de la inforrmacin en ell
producto. Bien
B sea a parrtir la ingenieera de requisitos, o en laas fases posteeriores de la ingeniera dee
software, quue incluyen el diseo y la coodificacin deel producto, all igual que la eejecucin de las
l pruebas, laa
revisin de la declaracinn de variabless, de apuntado ores, uso de fuunciones y mtodos vulnerrables al iguall
que la gestin de excepcio
ones principallmente.
http://www.uax.es/publicacion/riesgos-de-ciberseguridad-en-las-empresas.pdf
30 Enrique Javier Santiago, Jess Snchez Allende
Conociendo esta situacin ya no solo hackers maliciosos independientes, sino muchas organizaciones
cibercriminales estn aunando esfuerzos en pro de la explotacin de sistemas computaciones y de red a
nivel mundial, de empresas de todo tipo, sector financiero y gubernamental, a travs del uso de software
malicioso cada vez ms especializado. Como tambin, a travs de las recientes campaas apoyadas en
Amenazas Persistente Avanzadas - APT que son consideradas como la evolucin de los ataques
informticos tradicionales. Mimetizndose entre el trfico de red y de servicios legtimos, llegando a
explotar debilidades que ni siquiera el fabricante conoce, llamadas vulnerabilidades de da cero. Otra
caracterstica de las APTs es la baja probabilidad de deteccin por parte de los sistemas AntiMalwalware
y tpicos controles de permetro, muchas veces por el uso de riskware en vez del malware tradicional.
Puede observarse a travs de esta investigacin es el crecimiento del CaaS, o crimen como servicio a
travs del cual las organizaciones desarrolladoras de malware ofrecen sus productos e infraestructura en
modo alquiler para que cualquier persona u organizacin materialice un ataque contra terceros. Muchos
de estos servicios hacen uso de tcnicas anti forenses para evitar la judicializacin de los agresores. Este
tipo de servicios est en crecimiento y ha dado paso al RaaS o Ransomware como servicio apoyado en kit
de herramientas publicadas en la nube que no requieren de conocimientos tcnicos avanzados para ser
usadas, y que facilitan la extorsin como resultado del secuestro de los activos de informacin de
empresas y personas.
Es claro que el comportamiento del malware tradicional y tcnicas de hacking han cambiado y estn
evolucionando, hacindose cada vez ms difciles de detectar; el camuflaje y la suplantacin, ms el uso
creciente de tcnicas de ingeniera social, hacen que los sistemas de deteccin y control tradicionales sean
inefectivos.
Se considera entonces que existe una necesidad creciente de salvaguardar los activos de informacin de
las empresas debido a la integracin de la computacin con los procesos corporativos y a la inefectividad
de los sistemas de deteccin y control de amenazas digitales disponibles en el mercado. Por esto el autor
considera que es necesario un cambio de paradigma en el proceso de deteccin de amenazas. A pesar de
que existen Sistemas de gestin de eventos de seguridad de la informacin SIEMs que realizan
correlacin de eventos de seguridad, no son adaptativos y carecen de la inteligencia que les permita
afrontar nuevas amenazas de forma autnoma sin intervencin humana.
Tecnolog@ y desarrollo. ISSN 1696-8085. Vol.XV. 2017
Riesgos de ciberseguridad en las empresas 31
9. Bibliografa
CISCO, (2017), [En lnea]: Informe de Ciberseguridad de Cisco 2017, pp. 10-26,
[http://b2me.cisco.com/en-us-annual-cybersecurity-report-
2017?keycode1=001464170]
CSIRT de la comunidad valenciana (2016), [En lnea]: Aparece una nueva versin del
APT Duqu, pp. 1, [https://www.csirtcv.gva.es/es/category/tags/apt]
CYBSEC Security Systems, (2007), [En lnea]: Seguridad en el ciclo de vida del
desarrollo de software, vulnerabilidades en el desarrollo de software, pp. 1-
20,[http://www.cybsec.com/upload/cybsec_Tendencias2007_Seguridad_SDLC.pdf]
ECURED, (2016), [En lnea]: Conocimiento para todos: Caractersticas del gusano
informtico MYDoom, pp.1,[https://www.ecured.cu/Virus_informtico_Mydoom]
GLOBB Security, (2016) [En lnea]: El uso de software ilegal en empresas impacta
directamente su ciberseguridad, pp.1, [http://globbsecurity.com/software-ilegal]
http://www.uax.es/publicacion/riesgos-de-ciberseguridad-en-las-empresas.pdf
32 Enrique Javier Santiago, Jess Snchez Allende
GOLOVANOV Sergey, (2013), [En lnea]: Spyware Analisys: Software RCS Analisys
by Kaspersky and exposed in secure list, pp.1 ,
[https://securelist.com/analysis/publications/37064/spyware-hackingteam]
ISO, (1989) [En lnea]: Estandarizacin del No Repudio segn la ISO como parte de la
arquitectura de seguridad propuesta en la ISO-7498-2 , pp. 3.
[https://www.iso.org/obp/ui/#iso:std:iso:7498:-2:ed-1:v1:en]
IBM (2016), [En lnea]: X-force Research 2016 Cyber Security, pp.1-20,[https://www-
01.ibm.com/marketing/iwm/dre/signup?source=mrs-form-2988&S_PKG=ov47123]
INTEL Security, (2016), [En lnea]: Data Protection Benchmark Study, pp. 2-
25,[https://www.mcafee.com/us/resources/reports/rp-data-protection-benchmark-
study-ponemon.pdf]
ISO, (2016), [En lnea]: Trminos relacionados con ISO 27000 y seguridad de la
informacin: Definicin del concepto de Riesgo. pp. 1,
[http://www.iso27000.es/glosario.html]
KASPERSKY, (2016), [En lnea]: Amenazas para los datos Kaspersky labs: Los tipos
de malware, pp.1, [http://support.kaspersky.com/sp/viruses/general/614]
KASPERSKY, (2016), [En lnea]: Proyecto Sauron APT, kaspersky labs: Amenaza
Persistente Avanzada,pp.3-22,[https://securelist.com/files/2016/07/The-
ProjectSauron-APT_research_KL.pdf]
KASPERSKY, (2012), [En lnea]: Informe APT FLAME, Kaspersky Labs Anlisis de
amenazas, pp. 5-84 , [https://securelist.com/files/2015/12/Kaspersky-Security-
Bulletin-2015_FINAL_EN.pdf]
KRUTZ, R. L., VINES, R. D. (2002): The CISSP Prep Guide: Gold Edition.
John Wiley & Sons, Inc., New York, NY, USA, pp. 8-11.
MARTINEZ Sergio, (2016), [En lnea]: Amenazas a la banca mvil: Malware para los
mviles, pp. 1, [http://globbsecurity.com/amenazas-banca-movil-top-10-malware-
37372/]
Tecnolog@ y desarrollo. ISSN 1696-8085. Vol.XV. 2017
Riesgos de ciberseguridad en las empresas 33
OWASP. (2014), [En lnea]: Top 10 2013-A3-Cross-Site Scripting (XSS), EEUU, pp.1,
[https://www.owasp.org/index.php/Top_10_2013-A3-Cross-Site_Scripting_(XSS)]
SYMANTEC, (2010), [En lnea]: Informe APT Stuxnet, Symantec Security Response:
Anlisis de STUXNET, pp.2-68 ,
[https://www.symantec.com/content/en/us/enterprise/media/security_response/white
papers/w32_stuxnet_dossier.pdf]
http://www.uax.es/publicacion/riesgos-de-ciberseguridad-en-las-empresas.pdf