Riesgos de Ciberseguridad en Las Empresas

TEC
CNOL
LOG
G@ y DE
ESAR
RROL
LLO
Revista de Cie ncia, Tecnologa y Medio A mbiente
VO
OLUMEN XV.
X AO 2017
SEPAR
RATA
RIIESGOS DE CIBE
ERSEGUR
RIDAD EN
E LAS E
EMPRESA
AS
EnriqueJavi
E ierSantiago
o,JessSn
nchezAllendde
UNIVERS SIDAD ALFONSO X EL SABIO O

Es cuela Politcnica Supeerior
Villannueva de laa Caada (M
Madrid)

Del texto: Enrique Javier Santiago, Jess Snchez Allende

Marzo, 2017.
http://www.uax.es/publicacion/riesgos-de-ciberseguridad-en-las-empresas.pdf
De la edicin: Revista Tecnolog@ y desarrollo
Escuela Politcnica Superior.
Universidad Alfonso X el Sabio.
28691, Villanueva de la Caada (Madrid).
ISSN: 1696-8085
Editor: Javier Morales Prez tecnologia@uax.es
No est permitida la reproduccin total o parcial de este artculo, ni su almacenamiento o

transmisin ya sea electrnico, qumico, mecnico, por fotocopia u otros mtodos, sin permiso previo por
escrito de la revista.
Tecnolog@ y desarrollo. ISSN 1696-8085. Vol.XV. 2017

RIESGOS DE CIBERSEGURIDAD EN LAS EMPRESAS

Enrique Javier Santiago, Jess Snchez Allende

a) Doctorando en Ingeniera en Seguridad de la Informacin, Universidad Alfonso X el Sabio.
Avda. De la Universidad n1, Villanueva de la Caada, 28691, Madrid. Espaa.
Enrique.santiago@nst.com.co
b) Doctor Ingeniero de Telecomunicacin, Jefe de Estudios de Ingenieras TIC
Escuela Politcnica Superior, Universidad Alfonso X el Sabio.
Avda. De la Universidad n1, Villanueva de la Caada, 28691, Madrid. Espaa. jallende@myuax.com

RESUMEN: La tecno dependencia creciente en las organizaciones no solo trae beneficios para las
empresas ya que si no se implementan medidas de ciberseguridad y se gestiona el riesgo tanto en la
infraestructura tecnolgica como en los procesos de negocio, las empresas estarn expuestas a una gran
cantidad de amenazas que de aprovechar sus vulnerabilidades podran comprometer seriamente sus
activos de informacin.
Este documento recopila el resultado de la investigacin referente a los riesgos de seguridad a los que se
encuentran expuestas las organizaciones actualmente, al igual que el estado del arte de las amenazas
digitales, la evolucin del malware, las tendencias de los ataques informticos y nuevos objetivos de las
organizaciones cibercriminales como el Internet de las cosas.

PALABRAS CLAVE: Vulnerabilidades, Amenazas, Riesgo, Malware, APT, Internet de las Cosas,
BYOD.
ABSTRACT: The Increasing technology dependence of organizations not only brings benefits to
organizations else if cybersecurity measures are not implemented and risk is managed in the technology
infrastructure and business processes, the companies will be exposed to a large number of threats That
exploiting their vulnerabilities could seriously jeopardize their information assets.
This document concentrates the result of research on the security risks to which organizations are
currently exposed, as well as the state of the art of digital threats, malware evolution, trends, computer
attacks and new targets of cybercrime organizations as the Internet of Things.
KEY-WORDS: Vulnerabilities, Threats, Risk, Malware, Internet of Things, BYOD
4 Enrique Javier Santiago, Jess Snchez Allende
1. Introduccin
En este artculo se abordan los principales riesgos de seguridad al que estn expuestas las empresas del
siglo XXI con enfoque descriptivo. Se afronta el riesgo a partir de la relevancia que tienen los activos de
informacin para las organizaciones, se describen los efectos de la tecno dependencia si no se
salvaguardan los recursos, el concepto de riesgo y el rol que tienen las vulnerabilidades y las amenazas en
la probabilidad de materializacin de los incidentes de seguridad como tambin el impacto que tiene en
las organizaciones el compromiso de los activos de informacin.
Se relacionan tambin las principales amenazas que afectan el riesgo en las empresas de diferentes
sectores. Y se recopilarn una relacin de tcnicas de ataque empleadas por hackers de sombrero negro
para comprometer los activos de informacin digital de las organizaciones.
Se hace una resea de las amenazas actuales que hoy en da afectan a la seguridad de la informacin, la
recopilacin del estado del arte del riesgo al que se exponen las empresas y las tendencias a las que
apunta el mercado que pudieron ser identificadas a partir de las fuentes de referencia y del resultado de la
investigacin del autor.
El artculo est estructurado en diferentes apartados:
En primer lugar, en el apartado 1 se llevar a cabo una introduccin a los riesgos de seguridad a los que
estn expuestas las empresas.
Para continuar, en el apartado 2 justificando la importancia de la informacin para las organizaciones. Y

se estudian las caractersticas que deben salvaguardarse para que pueda considerarse segura dicha
informacin.
En el apartado 3, se describe la tecno dependencia y los efectos no deseados que traen consigo la falta de
un sistema o conjunto de procesos de monitorizacin permanente de los activos de informacin de la
organizacin. Y se profundizar en por qu este tipo de tecno dependencia incrementa el riesgo para la
informacin corporativa. Tambin se relaciona el rol que tienen los sistemas distribuidos en la operacin
de los servicios de red LAN y en el mismo internet. Tambin se describe el concepto de superficie de
ataque y su relevancia en la medida del riesgo.
Posteriormente en el apartado 4, se relacionan los componentes del riesgo en trminos de la probabilidad

de materializacin de posibles incidentes de seguridad y del impacto que estos representaran para la
empresa.
En el apartado 5 se describen los riesgos de seguridad a los que estn expuestas las organizaciones. Se
explica el origen de las vulnerabilidades en los sistemas computacionales, los tipos de estas. Y se
relacionan las principales amenazas involucradas en la materializacin del riesgo y los incidentes de
seguridad de la informacin e informtica. Tambin se aborda la clasificacin del malware y su evolucin
actual.
En el apartado 6 se estudian los principales ataques informticos que podran afectar la integridad,
confidencialidad y disponibilidad de los activos de informacin que se gestionan en las empresas hoy da,
el estado del arte de las ciberamenazas y las tendencias.
Posteriormente en el apartado 7 se describen los principales vectores de propagacin usados por los
agresores para comprometer la seguridad de las organizaciones.

Riesgos de ciberseguridad en las empresas 5
Finalmente en el apartaado 8 se muuestran las co onclusiones obtenidas

o duraante la elabo
oracin de laa
investigacin. Y se realizaa una propuessta de trabajo futuro.
Concluiremoos con la bibliiografa y los recursos de co

onsulta utilizaados.
2. Impoortancia de la Informaacin para las organizzaciones

Consideranddo que toda organizacin,
o est compueesta por un conjunto
c de pprocesos sinrrgicos que see
comunican entre
e s a trav
vs del intercam
ambio de inforrmacin transsformada por cada uno de ellose y que dee
la completittud, disponib bilidad, integrridad y calidaad de la missma depende el xito de la operacinn
corporativa al igual que la tomar de deecisiones neceesarias para diirigir el rumboo de toda com
mpaa; puedee
afirmarse que
q la informaacin es el acttivo ms impo ortante de toda empresa y qque esta debe hacer todo loo
necesario paara salvaguarddarlo.
Puede afirmmarse que la seguridad dde la informaacin dependee de que se garanticen sus s principioss
fundamentalles (Krutz y Vines, 20022, pp. 8-16) conocidos co omo: la conffidencialidad, integridad y
disponibilidad al igual qu
ue se garanticce el no repud
dio, autenticid
dad y la trazabbilidad de la misma en loss
procesos en los que se hag
ga uso de ellaa.
Podra decirrse que las meedidas de riesggo de la seguriidad de la info

ormacin, los controles quee deben usarsee
para protegeerla y la efectiividad de los m
mismos se midden en relacin a los princippios antes mencionados.
Figurra 1: Confidencialidad, inttegridad y dissponibilidad como princippios fundameentales de la

seguridad de
d la informacin.
El termino Confidenciali
C ferencia al heccho de que la informacin ssensible de laa organizacinn
idad hace refe
solo pueda ser
s conocida porp personal aal que previammente le han siido otorgados privilegios soobre ella. Conn
el uso de la tecnologa, estos permisoss de acceso geeneralmente soon asignados a las cuentas de usuario dee
los empleaddos para que puuedan desemppear su laborr dentro de la empresa.
e
La Integrid
dad se refiere al hecho de qque la informaacin solo pueeda ser modifi
ficada dentro de
d un procesoo
corporativo legtimo, durante un perio do de tiempo, desde un sittio autorizadoo. Y por perso
onal al que laa
compaa lee ha otorgado o privilegios. Las adicionees, eliminacioones parcialess y cualquierr otro tipo dee
modificacinn en condiciones distintas a las mencionaadas no estn permitidas.

La Disponibilidad hace referencia a la garanta de que la informacin sensible de la organizacin estar

accesible por el personal autorizado en el momento en que se considere.
Adems, se consideran servicios de seguridad de la informacin y que deberan ser tratados como
caractersticas secundarias de la informacin a aquellos que hacen uso de mecanismos que apoyan el
aseguramiento de este activo y se incluyen principalmente a:
El No Repudio es un servicio que proporciona la no renuncia de la responsabilidad de los actores que

participan en una transaccin en la cual se haga uso de algn activo de informacin. Este puede ser No
repudio de Origen y/o No repudio de destino y est estandarizado en la ISO-7498-2.
Por otra parte la Trazabilidad hace referencia al servicio de registro continuo de las acciones en las
cuales est involucrado cualquier activo de informacin de la compaa al igual que los datos referentes a
los actores participantes, la descripcin de la accin acciones acompaadas de marcas de tiempo que
permitan dentro de un proceso de auditoria reconstruir con detalle el suceso.
Otro servicio importante es el de Autenticacin que tiene como tarea realizar la verificacin de la
identidad y los privilegios sobre los activos de informacin de los actores que pretenden participar en una
transaccin. De manera que ayuda a facilitar la autenticidad de la informacin antes de ser procesada
dentro de la organizacin.
La informacin se considera como la materia prima en la operacin de las organizaciones en un mundo

globalizado como este, en el que los consumidores se hacen ms exigentes. La tecnologa es la
herramienta clave para reducir los tiempos de respuesta en la atencin al consumidor, permitiendo
expandir las fronteras del mercado y hacerse cada vez ms competitivo.
Por ende, es indudable que, la adopcin en crecimiento de la computacin dentro de las organizaciones y
la interconectividad a la Internet ha demostrado ser elementos claves en la expansin del mercado
corporativo, y en el mejoramiento de la calidad de los productos y servicios ofrecidos, facilitando as la
competitividad y el crecimiento empresarial. Pero tambin es claro, que esta situacin lleva consigo a la
tecno dependencia que sumerge a las empresas en la necesidad de gestionar un nuevo tipo de riesgo; el
asociado con la seguridad de su informacin.
3. Tecno dependencia y su efecto en las organizaciones.
Las organizaciones tienen claro que el uso de la tecnologa como apoyo a los procesos de negocio reduce
los costos, haciendo ms eficiente y eficaz a la operacin corporativa. Esta situacin puede evidenciarse
con el uso masivo del E-commerce y las soluciones de E-banking, tanto web como mviles, que le
permiten a los usuarios y cuentahabientes comprar productos y servicios desde la palma de su mano, todo
esto gracias a los sistemas distribuidos que son la base de las redes LAN y de la misma internet.
Es obvio entonces, que muchas empresas de este siglo son tecno dependientes y esta tendencia es
creciente ya que, cada vez ms empresarios confan su negocio a la automatizacin, interconexin
computacional y a los procesos en lnea.
Pero el uso de la tecnologa en los procesos de negocio no solo trae beneficios a las organizaciones y a los
usuarios, sino que muchas veces implica riesgos para la informacin digital, debido a la presencia de
vulnerabilidades en el software y hardware computacional, muchas veces resultado de la falta de madurez
de algunos productos a nivel de ciberseguridad. De manera que la interconexin a la red de redes no solo

expande el mercado corporativo sinno que tambiin expone a los activos de informaccin de estass
organizacionnes a una gran
n cantidad de aamenazas.
3.1 Porque la Tecno

o dependen
ncia incrementa el Riessgo?
Tanto los seervicios de red como los siistemas de in nformacin weeb y mviles son consideraados sistemass
distribuidos ya que, estnn compuestos por tres elem mentos comunes: un processo servidor, un
n cliente y unn
conjunto dee protocolos que
q son usaddos para consstruir mensajees que les peermiten a am mbos procesoss
comunicarsee y sincronizar sus accioness. Estos elemeentos describen claramente al modelo Cliiente/Servidorr
en el que see basan todass las aplicacioones usadas en e Internet y en las redes LAN que ussan la pila dee
protocolos TCP/IP.
T En la figura 2 se apprecian estos componentes.
c
Figura 2:: Componenttes bsicos deel modelo cliente / servidorr sobre TCP//IP
Los sistemaas distribuidoss nacieron a m

mediados de 1970
1 y tomaroon fuerza a finnales de 1990
0, poca en laa
cual no tena tanta relev
vancia la seguuridad informtica como laa tiene hoy, dde manera qu ue estos y loss
protocolos que
q los soporttan no fueronn construidos pensando en la seguridad de la informaacin, solo see
centraban enn la funcionallidad. Por estto servicios co
omo FTP, SM MTP, POP, TE ELNET, HTT TP entre otros,,
carecen de proteccin criptogrfica
c y autenticaciin fuerte, raazn por la cual han sid do fcilmentee
explotados durante
d mucho o tiempo.
Esto hace ms
m complejass a este tipo de solucioness y ms susceeptibles a falllos de seguriddad ya que laa
sumatoria de
d los puntos ded entrada y salida consideerados como la superficiee de ataque1 Dr. Partyusa;;
pueden ser utilizados
u por un agresor paara compromeeter los activoss de informaciin.
Para los sisttemas distribu

uidos podra cconsiderarse como
c parte dee la superficiee de ataque a los siguientess
elementos:

1
Definnicin dada por el Dr. P
Pratyusa K. Manadhata
M en
n su tesis puublicada en http://reports--
archive.adm
m.cs.cmu.edu/aanon/2008/CM
MU-CS-08-152.pdf

Ordenadores visibles a travs de la internet, conectados a la red inalmbrica o desde la misma

red LAN
Routers, Switches, Sistemas PBX.
Controles de permetro lgico y fsico como firewalls, IPS, IDS.
Los servicios de capa de aplicacin expuestos.
Los mtodos, procedimientos y funciones que expone cada servicio a travs de los puertos
lgicos.
Interfaces administrativas
Funciones de bsqueda y consulta basadas en Formularios.
APIs, direcciones IP e identificadores de red y Host.
Recursos de informacin publicados.
Cuantos ms activos/componentes estn expuestos y cuenten con vulnerabilidades explotables, la

probabilidad de que una amenaza pueda aprovecharse de estos fallos y materializar el riesgo ser mayor,
pudiendo afectar la operacin de las organizaciones.
La naturaleza misma de los sistemas distribuidos y la necesidad de interoperabilidad de sistemas de

diferentes organizaciones a travs de tecnologas middleware soportadas por protocolos de
comunicaciones no seguros, exponen porciones de cdigo que no solo podran ser consumidos por
sistemas legtimos sino tambin por hackers maliciosos apoyados por herramientas de Riskware2 y
Malware3.
La adopcin de BYOD Bring Your Own Device4 es otro factor que incrementa el riesgo corporativo
afirman algunos investigadores de la Universidad Nacional de la plata, ya que los equipos mviles,
asistentes personales de los empleados y visitantes podran tener vulnerabilidades graves e incluso
malware, que una vez conectados a la red corporativa y de no contar esta con unos buenos controles;
podran servir de punto de acceso aprovechable por un agresor para facilitar el compromiso de los activos
de informacin corporativos.
Segn el reporte anual de ciberseguridad de la compaa Cisco Systems (Cisco 2017 Annual
Cybersecurity Report, 2017)5, en el 2016 se evidenci la expansin de la superficie de ataque de las
empresas que da ms espacio para operar a los hackers maliciosos facilitando su xito, ya que los mviles
representan ms Endpoints que proteger, la integracin de la plataforma tecnolgica con la Nube
expande el permetro de seguridad que hay que controlar. Y adems la creciente integracin a la red
corporativa de diferentes dispositivos que hacen parte del llamado Internet de las Cosas IoT tales como
DVRs, cmaras IP, smartTVs, electrodomsticos, weareables y otros elementos de la domtica6
corporativa como las redes de sensores con las que incluso se forman las smartcities7 hacen uso de
implementaciones de protocolos a los que les falta madures a nivel de ciberseguridad. En el mismo
reporte se afirma que el comportamiento de los usuarios sigue haciendo de estos el eslabn ms dbil de
las organizaciones.

2
http://latam.kaspersky.com/internet-security-center/threats/riskware
3
https://www.paloaltonetworks.com/documentation/glossary/what-is-malware
4
Security and Privacy considerations, publico en http://dl.acm.org/citation.cfm?id=2412373.2412741
5
http://www.cisco.com/c/m/en_au/products/security/offers/cybersecurity-reports.html
6
http://www.cedom.es/sobre-domotica/que-es-domotica
7
http://www.creatingsmartcities.es/

4. Riesgo y sus comp

ponentes
Segn el poortal de ISO 27001

2 en espaaol, el riesgo
o asociado a la seguridad dde la informaccin se definee
como la Poosibilidad de que una amennaza concreta a pueda explotar una vulneerabilidad parra causar unaa
prdida o daao en un actiivo de informaacin. Si connsideramos al riesgo como uuna ecuacin,, sus variabless
incluiran laa combinacinn de la probaabilidad de occurrencia de un incidente de seguridad, consideradoo
como una sserie de eventos de seguriddad de la info ormacin inessperados o noo deseados qu ue poseen unaa
probabilidadd significativa
a de comprom meter las operaciones del negocio y am menazar la seg guridad de laa
informacinn. y las conseecuencias del mismo expreesados en trm minos del imppacto producid do, donde unaa
vulnerabiliddad puede connsiderarse commo una Debillidad de un activo controol que puede ser explotadaa
por una ms
m amenazas y una amenaaza como Ca ausa potencial de un incideente no deseaddo, que puedee
provocar daaos a un sisteema a la orgganizacin.
Todo activoo de informacin podra tenner por lo men

nos una vulnerrabilidad que ppodra ser aprrovechada porr
una amenaza. La explotaacin de esta ddebilidad da como
c resultado
o la materializzacin del riessgo intrnsecoo
o propio del
d activo de innformacin siin proteccin alguna.
Una amenazza y una vulneerabilidad porr separado no implican riessgo alguno. E Es claro que debe
d existir unn
activo de informacin con n por lo menoos una debilid
dad al alcance de una entidaad que represeente peligro o
que pueda daar
d a dicho elemento. Diicho de otra manera
m debe existir
e en el m
mismo espacio o y tiempo unn
peligro efecctivo y un objjeto con una debilidad preesente que de ser explotadda por esa am menaza, puedaa
daar al actiivo de algunaa forma. De m manera que laa materializacin del riesgoo intrnseco ess en s mismaa
una probabilidad condicio onal que tomaar un valor entre
e cero (0) y uno (1), deependiendo dee la existenciaa
de por lo meenos una vulnerabilidad y uuna amenaza que
q pueda apro ovechar la debbilidad presen
nte.
En la figura siguiente pueden

p apreciiarse los com
mponentes dell riesgo asociiado a la seg
guridad de laa
informacinn.
F
Figura 3: Com
mponentes dell riesgo

Entonces, si se considera la presencia de una vulnerabilidad y de una amenaza como dos sucesos
independientes, podran expresarse en trminos probabilsticos con la siguiente ecuacin:
P(Vulnerabilidad y Amenaza)= P(Vulnerabilidad) x P(Amenaza)
Como el riesgo intrnseco es igual a la probabilidad de que exista una amenaza que pueda aprovechar una
vulnerabilidad presente en el activo, entonces:
P(Vulnerabilidad y Amenaza) = P(Riesgo Intrnseco)
Entonces podra representarse a la probabilidad de riesgo intrnseco con la siguiente ecuacin:
P(Riesgo intrnseco)= P(Vulnerabilidad) x P(Amenaza)
En el contexto de la seguridad de la informacin, la probabilidad de la materializacin del riesgo

intrnseco es equivalente a la probabilidad de la presencia de un incidente de seguridad; de manera que
sera vlida la expresin:
P(Incidente seguridad)=P(Riesgo Intrnseco);
Entonces:
P(Riesgo intrnseco)= P(Vulnerabilidad) x P(Amenaza)
En el contexto corporativo la materializacin del riesgo tiene un impacto en algn proceso del negocio.
Mientras ms crtico sea proceso o el activo de informacin afectado, mayor ser el impacto de la
amenaza.
De manera que la severidad del riesgo de seguridad de una organizacin es una variable dependiente de la
probabilidad de la materializacin de un incidente y del impacto del mismo a la organizacin y podra
expresarse con la siguiente ecuacin:
Severidad Riesgo = [Probabilidad de un incidente de seguridad] x [Impacto causado]
Las organizaciones cuentan con una herramienta de mucha utilidad para reducir el riesgo al que estn
expuestas, esta es llamada Anlisis de Riesgos que a partir de la aplicacin de una metodologa
cualitativa como NIST800P, ISO27005 entre otras, o una cuantitativa como Magerit facilitan la
construccin de la Matriz de Riesgos de los procesos definidos en el alcance. Dicha matriz de riesgos
permite identificar las contramedidas y controles necesarios para salvaguardar sus activos de informacin.
Generalmente las empresas consideran a los costos de los controles y su implementacin como un factor
importante para la adquisicin y puesta en produccin de las salvaguardas.
Considerando que el Anlisis de riesgos est ms orientados a los procesos, es una buena prctica de
muchas organizaciones realizar un proceso de identificacin, evaluacin de vulnerabilidades en el marco
de un test de penetracin a su infraestructura tecnolgica. Estas actividades de hacking tico se apoyan
en metodologas como por ejemplo OSSTMM de ISECOM, ISAFF, CEH de ECCouncil y OWASP para
el testing de aplicaciones web y mviles.
Al final de la implementacin de las medidas de proteccin y monitorizacin deben considerarse la

construccin de planes de contingencia y de gestin de incidentes para tratar al riesgo residual que podra
materializarse a pesar de la presencia de los controles.

5. Riesgos de Seguridad en las organizaciones

La gran mayora de los componentes tecnolgicos que usan todas las organizaciones a nivel mundial
tienen vulnerabilidades. Segn la compaa CYBSEC Security muchas de estas debilidades pueden nacer
con el producto como parte del diseo, tal vez por la omisin de los requisitos mnimos de seguridad de la
informacin que todo nuevo producto software debe cumplir que debe considerarse por el analista de
sistemas desde la fase misma de ingeniera de requisitos.
Aunque la mayor cantidad de vulnerabilidades son adicionadas al producto en la fase de implementacin

y desarrollo del software que incluye la construccin de la aplicacin a travs del uso de funciones,
mtodos y procedimientos dbiles del lenguaje de programacin elegido en el proyecto.
El desarrollo de aplicaciones de muchos fabricantes de software es una carrera contra el tiempo con el fin
de sacar al mercado nuevas versiones de sus aplicaciones, que finalmente son productos que deben ser
comercializados lo ms rpido posible para no perder mercado.
Esta carrera contra reloj, junto con las malas prcticas de ingeniera de software, la ausencia o pobre
adopcin de metodologas de calidad de software como CMMI8 ms la falta de entrenamiento en
desarrollo seguro9 y la concienciacin en ciberseguridad, garantiza la presencia de Bugs en las
aplicaciones, como los errores de divisin por cero, bucles infinitos, deadlocks, etc. Y omisiones, como
la falta de gestin de excepciones, omisin en declaracin de tipos de variables, falta de
dimensionamiento de las mismas y omisin de funciones de validacin de parmetros. Estos hechos
conllevan a la aparicin de vulnerabilidades en el cdigo fuente que podran ser explotables.
Estas vulnerabilidades son llamadas Vulnerabilidades de da Cero10 cuando son recin descubiertas y
no existe ninguna contramedida para reducir el riesgo que representan. Y muchas de ellas son
comercializadas en el mercado negro por hacker maliciosos con nimo de lucro. Una vez el fabricante o
un tercero, desarrollan el parche o cdigo corrector del fallo, y este se publica generalmente por parte de
algn Centro de Respuesta a Incidentes (C.E.R.T) entonces pasa a ser una vulnerabilidad comn.
En muchas situaciones las vulnerabilidades son el resultado del uso de funciones, mtodos y
procedimientos de algunos lenguajes de programacin que tienen fallos de seguridad como ejemplo de
ello la funcin strcpy(var1,valor) para lenguaje C que no valida la cantidad de memoria requerida por la
variable destino para poder almacenar el valor que se pasa como parmetro causando un fallo en la
disponibilidad de la aplicacin por el desbordamiento del buffer. A pesar de ello se siguen incluyendo en
libros de referencia empleados en cursos de desarrollo de software, y siguen siendo usadas por
desarrolladores profesionales.
Ejemplo de esto, es la vulnerabilidad en el API de PHP11 descubierta por el investigador de seguridad

John Page el da 22 de febrero del 2017 en la plataforma web de la compaa Easycom que permite a
un agresor realizar un Stack Buffer Overflow afectando la disponibilidad del servicio a travs de la red.

8
https://www.sei.cmu.edu/cmmi/
9
https://www.owasp.org/images/9/93/Desarrollo_Seguro_Principios_y_Buenas_Practicas.pdf
10
Definicin de Vulnerabilidad de da cero, segn ESET, http://www.welivesecurity.com/la-
es/2015/02/25/que-es-un-0-day/
11
Stack Buffer Overflow por vulnerabilidad del API de PHP, https://vuldb.com/es/?id.97277

El problema se hace mayor con los desarrollos de software ms grandes como los sistemas operativos.
Estos estn soportados por un elevado nmero de paquetes de libreras (shared Objects Dynamic
Library Link, entre otras) que crecen con cada nueva versin y con cada actualizacin, siendo
desarrollados por diferentes programadores, muchos de estos pertenecientes a pequeas empresas de
software distribuidas en el mundo de manera que en muchas situaciones y a pesar de gran cantidad de
desarrollos estn documentados, los programadores solo llegan a conocer los nombre de las funciones,
procedimientos o mtodos y el tipo de parmetros que necesitan para continuar con su desarrollo. Esta
situacin dificulta la deteccin de cdigo dbil que pueda representar alguna vulnerabilidad explotable.
Adems algunos lenguajes de programacin e incluso productos de software como motores de Bases de
datos incluyen funciones y procedimientos almacenados, por ejemplo XP_CMDSHELL para MSSQL
Server, que de estar habilitados, podran ser usados por un agresor externo para ejecutar comandos
peligrosos a nivel del sistema operativo que podran afectar la seguridad de la informacin de la
organizacin.
En algunas otras situaciones se adicionan vulnerabilidades en los procesos corporativos durante la

configuracin e integracin de productos de software como resultado de la aplicacin de malas prcticas,
muchas veces por falta de entrenamiento e incluso de concienciacin.
Ejemplo de las vulnerabilidades a las que se exponen los activos de informacin por la configuracin de
productos de software por defecto se hizo pblico en julio del 2015 cuando un grupo de investigadores de
seguridad pudo evidenciar la exposicin de 600 TBytes de bases de datos expuestas por un fallo en la
configuracin del motor de bases de datos MongoDB12 en versiones anteriores a la 2.4.14 que permiten
el acceso desde todas las interfaces de red del host (IP 0.0.0.0) y no permiten el bind_ip que permitira
restringir el acceso a travs de una IP especifica.
Segn el artculo de la empresa Globb Security, el uso de software ilegal en las empresas impacta
directamente en su ciberseguridad ya que mucho de este software que generalmente se obtiene de fuentes
poco confiables, contiene malware que compromete los sistemas corporativos como resultado de la
ausencia de polticas y controles de instalacin de software. Este mismo informe confirma que el 25%
del software ilegal es usado en sectores financieros como la banca y las aseguradoras, tambin revela que
26% de los empleados admitieron haber instalado software de fuera de la compaa en los ordenadores de
sus empresas.
5.1 Malware
Muchos de los incidentes informticos que se presentan en las organizaciones son materializados a travs
del uso de Malware y en otras situaciones con el uso de Riskware. El autor considera al Malware como
una herramienta de software construida por un programador malicioso con la cual automatiza uno o ms
procedimientos de explotacin de vulnerabilidades de algunos sistemas con el fin de afectar alguna de las
caractersticas de los activos de informacin de su blanco.
Entonces, el software malicioso podra considerarse como una amenaza automatizada por su creador para
aprovechar las debilidades de la infraestructura tecnolgica de las organizaciones con diversos fines, entre
ellos:

12
Publicacin exposicin de 600TB de bases de datos https://www.redeszone.net/2015/07/23/600tb-
de-bases-de-datos-expuestas-por-un-fallo-de-configuracion-de-mongodb/

Actividades de espionaje y seguimiento.

Recoleccin de datos sensibles y robo de informacin
La destruccin de la informacin y/o la avera de los sistemas objetivo.
La manipulacin y alteracin de la informacin como ocurre con los crmenes financieros.
El uso de tiempo de CPU para actividades de generacin de SPAM, propagacin de malware e
incluso para replicar ataques contra terceros.
La toma de control de la infraestructura tecnolgica como ocurre con las botnets.
La gua de estudio de la certificacin de hacking tico de ECCouncil, define que el software malicioso
est formado por las siguientes partes:
Vector de infeccin/ propagacin: Rutina que incluye el cdigo que usa el malware para
propagarse, infectar distribuirse.
Payload: porcin de cdigo que ejecuta la accin maliciosa propsito del malware como la
destruccin de ficheros, la apertura de un puerto, el registro de acciones del usuario.
Algunos productos de malware incluyen otros componentes adicionales como el dropper encargado de
garantizar la propagacin y persistencia del cdigo malicioso, u otro componente llamado Trigger
bomba lgica, encargada de ejecutar el payload en el momento en el que ocurra un evento como un click
del usuario o el cumplimiento de una condicin como la llegada de una fecha u hora.
Muchos fabricantes antimalware han clasificado a los diferentes productos de software malicioso de
acuerdo al propsito del malware. Considerando que es posible encontrar productos de malware
diferentes que tengan el mismo Payload, a continuacin se presenta la clasificacin por familias
considerando vectores de propagacin comunes:
Virus
Son programas maliciosos que se ejecutan en diferentes tipos de ordenadores y que requieren de un
fichero anfitrin para ocultar su cdigo e infectar el sistema vctima, de manera que son ejecutados con el
archivo a peticin del usuario o del sistema operativo; existen muchas variantes, entre ellas se encuentran:
Cavity o viruses, incluyen su cdigo dentro del rea de memoria de otros archivos
Virus de Macro, incluyen su cdigo dentro de rutinas de hojas electrnicas y ofimtica
Virus de camuflaje, usan nombres y rutas de componentes del sistema operativo.
De Sector de Arranque, ubica parte de su cdigo en el sector de arranque del disco duro
Cluster viruses, altera la tabla de asignacin de archivos del sistema de archivos.
Stealth Viruses, emplean diversas tcnicas de evasin para protegerse del antivirus
Virus de Encripcion, que evitan la deteccin cifrando su cdigo.
Gusanos
Software malicioso que no requiere de un anfitrin para su propagacin. Se caracteriza por propagarse a
travs de la plataforma de red de las organizaciones. Aprovecha los servicios en ejecucin y algunos
copian su cdigo en el rea de memoria leda por los sockets de estos servicios con el fin de ser enviados
como parte de los mensajes que intercambian servidores y clientes.

Troyanos
Son productos de malware diseado para facilitarle al agresor acceso cubierto al sistema vctima,
generalmente estn compuestos por tres elementos:
Carrier: es el componente de fachada y transporte del payload, generalmente sirve de carnada

para que la vctima ejecute el producto.
Payload: rutinas de cdigo malicioso que afectan los activos de la informacin, algunas de ellas
pueden daar ficheros, descargar y habilitar puertas traseras, afectar el sistema de archivos, entre
otras cosas.
Dropper: es el componente de software encargado de hacer persistente al cdigo maliciosos,
entre sus acciones est el crear entradas en el registro de Windows tpicamente en HKLM y
sobre Unix/Linux y MacOS registrar como servicio al payload crear una entrada en
/etc/rc.d/rc.local (por ejemplo sobre distribuciones Linux descendientes de RedHat) para hacer
arrancable el malware ante reinicios del sistema.
Spyware
Malware desarrollado para ejecutar tareas de espionaje de las actividades ejecutadas en el sistema
comprometido. Muchos de estos productos almacenan el registro de acciones del usuario en un fichero
oculto/codificado o cifrado, y algunos otros envan esta informacin directamente al agresor a travs de la
red usando protocolos como SMTP/HTTP e incluso el antiguo IRC.
A su vez el spyware puede catalogarse como:
Keylogger: software que espa que registra el keystrokes13 del usuario clandestinamente.
Screenlogger: tipo de Spyware captura screenshots14 del ordenador del usuario
Videologger: software espa que graba en porciones de video las actividades del usuario,
generalmente utiliza algoritmos de compresin para reducir el espacio de almacenamiento y
transporte requerido.
Existen tambin productos de espionaje que incluyen de forma modular todas las funciones antes
descritas. Estos productos se consideran suite de espionaje.
Backdoors
En trminos del malware para sistemas TCP/IP, las puertas traseras son rutinas de cdigo que al
ejecutarse suben un proceso en la memoria RAM del ordenador victima que posee un mdulo de
comunicaciones con un numero de puerto lgico del nivel de transporte, a travs del cual el agresor podr
tener acceso al sistema comprometido.
Generalmente estn embebidos de forma oculta en algunos sistemas de informacin, como tambin
algunos otros productos de malware los incluyen como parte de su Payload.

13
Teclear del usuario
14
Pantallazos del escritorio del ordenador del usuario

Rootkits
Producto de Malware que compromete al sistema operativo a travs del reemplazo componentes
importantes del mismo o suplantando llamadas e interrupciones al sistema (hooking) y que es capaz de
ocultar procesos, ficheros, programas, directorios y archivos de configuracin para reducir su deteccin y
la de otros productos de malware que se ejecuten en el sistema vctima.
De acuerdo al nivel en el que operan, los rootkits pueden ser:
Hypervisor level: Modifican la secuencia de arranque y se cargan a si mismos en el hypervisor.

Kernel Level: Adicionan cdigo o reemplazan componentes del kernel original.
Aplication Level: inyectan cdigo malicioso a los programas en la capa de aplicaciones.
Library level: interceptan y reemplazan las llamadas originales libreras del sistema operativo
por falsos llamados evitando la deteccin de los procesos maliciosos
Boot loader level: reemplaza el cargador de arranque por una versin modificada por el agresor.
Hardware/Firmware level: reemplaza/oculta controladores del hardware o su cdigo.
Spoofeadores
Productos de software usados para falsificar mensajes completos o parmetros de diversos protocolos de
comunicaciones usados en redes LAN y en la Internet con el fin de interceptar trfico de un servicio para
capturar informacin sensible, redireccionarlo a un host malicioso o impedir el acceso a los activos de
informacin.
Hijackers
Herramientas de software usadas para interceptar trfico y secuestrar sesiones activas de varios usuarios
de la plataforma de red de las organizaciones. Dentro de sus mtodos de intercepcin se encuentran:
Session fixation: asignacin de un valor conocido para la sesin del usuario vctima.
Session side jacking: secuestro de sesin apoyado en el uso de sniffers.
Browser hijacking: secuestro de la informacin de sesin modificando el comportamiento del
navegador del usuario vctima.
Inyeccin de cdigo: envi de cdigo de scripting a la plataforma victima para obtener cookies e
informacin de variables de sesin. Tpicamente sobre plataformas web.
Exploits y exploits kits
Los exploits son rutinas de cdigo resultado de la automatizacin de procedimientos de explotacin de

vulnerabilidades especficas como el Buffer Overflow; estas vulnerabilidades conocidas o de da cero
presente en un software particular podran ser explotadas local remotamente. Los exploits kits son
productos de software creados para construir, gestionar y lanzar exploits contra la plataforma de red de las
organizaciones.
Los exploits son apreciados en el mercado negro y muchos de ellos pueden ser comercializados en
darknets como la Deepweb, principalmente los de da cero que podran alcanzar precios del orden de los
USD $6.000.

5.2 La nueva Era dell Malware

Hibridos:
El Softwaree malicioso ha evolucionnado a partirr de la confformacin dee grupos estrructurados dee

cibercriminaales que han optado
o por el uuso de malware especializado y dirigido a algunos secctores como ell
financiero, de salud y de servicios.. Muchas dee estas organ nizaciones coompran en laas Darknets155
vulnerabiliddades de da ceero y exploits que las explo
otan para posteeriormente meejoralos con sus equipos dee
desarrolladoores malicioso
os.
Bots
Son producttos de malwarre del siglo X XXI, construidos principalm mente por proggramadores coontratados porr
redes de ciibercriminaless, que tienen caractersticaas de varias familias de malware com mo: troyanos,,
backdoors, rootkits, spy yware princip almente y qu ue son usado os para tomaar el control total de loss
ordenadoress y smartphon nes infectadoos con el fin de ponerlos a la disposiicin de una organizacinn
cibercriminaal a travs de un servidor dde C&C16 (tam
mbin llamado o C2) que es aadministrado por
p un hackerr
malicioso coon el rol de p
pastor o encar
argado de la geestin de los drones
d o zombbies17.
Figuraa 4: Proceso de
d creacin de
d una botnet
En la figurra anterior exxtrada del ccurso oficial de certificaciin de hackiing tico de la empresaa
ECCouncil18 se muestra ded forma didctica tanto ell proceso de creacin,
c incrremento de la poblacin dee
ordenadoress zombies y la agresin que realizan muchas botnets a travs de la IInternet.

15
Termmino definido por primera vez por Miccrosoft para reeferirse a reddes usadas paara publicar y
distrribuir contenid
do digital de fforma annima
16
Infraaestructura de servidores de comando y control que adm ministran los nnodos de una Botnet
17
Dronne/Zombie es un u trmino ussado para desccribir a un ordenador que haace parte de un
na botnet
18
http:///www.eccoun ncil.org

RATs/Remote Access Trojan:
Son considerados como la evolucin de los troyanos y una fusin de estos con las backdoors o puertas
traseras que permiten a agresor establecer una conexin remota (generalmente en reversa) para tener
acceso al ordenador comprometido. Muchas campaas APT19 hacen uso de este tipo de malware para
ejecutar actividades de reconocimiento, salto de sistemas de autenticacin, descarga y propagacin de
malware otros productos de software malicioso y acceso a informacin sensible de las organizaciones.
Ransomware:
Producto de software malicioso con tendencia creciente a nivel mundial, que se caracteriza por hacer uso
de criptografa Simtrica y Asimtrica tambin conocida como hibrida para secuestrar los ficheros de los
ordenadores y mviles infectados para luego pedir un rescate por la entrega de la llave criptogrfica
necesaria para descifrar los ficheros comprometidos, tpicamente el pago se solicita en Bitcoins e incluso
se le da soporte al usuario en la realizacin del pago del rescate.
6. Principales ataques informticos que afectan a las organizaciones

Se considera ataque informtico a la accin o conjunto de acciones ejecutadas por uno o un grupo de
individuos que pretenden afectar las caractersticas de los activos de informacin de una organizacin o
una persona.
En este orden de ideas, los ataques a los sistemas distribuidos se pueden clasificar de varias maneras, por
ejemplo segn la caracterstica de los activos de informacin que se vea afectada, de acuerdo a la capa de
la arquitectura TCP/IP que afecta y de acuerdo al componente del sistema distribuido que es impactado.
A continuacin se relacionan los principales ataques dirigidos a la plataforma de comunicaciones que

hace parte de los sistemas distribuidos.
El ataque de Hombre en el Medio, MitM Sniffing Activo, es un ataque que se realiza a los protocolos
de comunicaciones entre dos host, muy frecuente en redes LAN Ethernet conmutadas en donde el agresor
previamente conectado a la red cableada o inalmbrica intercepta el trfico entre el Gateway y el resto de
los ordenadores o entre clientes y servidor por ejemplo a travs del envo de mensajes ARP gratuitos que
envenenan las tablas ARP de los Host por la ausencia de autenticacin. En entornos WAN el MitM podra
hacerse efectivo a travs de la manipulacin de las tablas de enrutamiento, tambin a travs del uso de
servidores proxy e incluso como resultado de un proceso exitoso de inyeccin de cdigo en una
aplicacin web. Finalmente y sin importar el entorno y la tcnica usada, estas acciones terminan en el
compromiso de la confidencialidad de credenciales, archivos adjuntos, consultas sql, registros de bases de
datos y de todo el trfico que se envi a travs de la red sin ningn tipo de cifrado.
El Ataque de ARP spoofing, muy frecuente en las redes LAN Ethernet conmutadas permite que un
agresor pueda comprometer la integridad de las tablas ARP usadas por el stack Ethernet y TCP/IP para
crear un vnculo entre direcciones IP y MAC; con esta actividad el agresor podra afectar la
confidencialidad e incluso la disponibilidad de los servicios.
El Reply Attack o Ataque de repeticin se basa en el reenvi de credenciales cifradas o huellas

dactilares previamente obtenidas por el agresor como resultado de un ataque de intercepcin al trfico de
autenticacin entre un cliente y el servidor legtimo. El agresor no necesita conocer las credenciales en

19
Advanced Persistent Threats

texto claro, solo reenva el criptograma o el hash como ocurre por ejemplo con el ataque de repeticin
sobre sistemas operativos Windows llamado Hash Injection, en el que se hace uso de la huella dactilar
LM HASH, NT HASH con el nico fin de iniciar una sesin ilegal en nombre de un usuario legtimo.
Con esta agresin se podra comprometer la confidencialidad de la informacin de la cuenta secuestrada.
Otro ataque que afecta la seguridad de los sistemas de informacin web es conocido como HTTP
Response Spliting, y se basa en la manipulacin de campo input del mensaje HTTP de respuesta
adicionando un URL malicioso que podra permitirle al agresor redirigir al usuario victima a este sitio.
Un ejemplo del el mensaje de respuesta manipulado seria el siguiente:
Input=usuario_malicioso\r\n HTTP/1.1 200 OK\r\n
Ataque de flooding inundacin. Se clasifican como ataques de inundacin a cualquier accin que
genere trfico de uno o varios protocolos que tengan como destinos HOST o equipos de comunicaciones.
Uno de los ms usados para afectar a las redes LAN y MAN basadas en Metro Ethernet es el MAC
FLOOD, que consiste en el envo masivo de tramas Ethernet y Metro Ethernet con direcciones MAC
destino y origen aleatorias con el fin de llenar las tablas de conmutacin o CAM de los switches.
El ataque Wireless cracking, consiste en la extraccin del PassPhrase usado por los protocolos de
autenticacin de redes WLAN basadas en el estndar IEEE 802.11 como WEP y las variantes de WPA.
La tcnica usada por el agresor se basa en obligar a los ordenadores de usuarios legtimos conectados a la
red Wireless a desasociarse del punto de acceso para posteriormente atrapar copias del trfico de
autenticacin que contendr para protocolos como WEB basados en el algoritmo RC4 un conjunto de
vectores de Autenticacin que incluirn el deseado PassPhrase. Con las credenciales obtenidas el Host
agresor podr conectarse a la red.
IP y MAC Spoofing son actividades realizada para reemplazar o falsificar una direccin MAC o IP con
el fin de dificultar la localizacin real del host agresor. Existen herramientas como SCAPY del grupo
THC, que permiten construir paquetes IP completos con el direccionamiento falsificado y productos
como HPING, que pueden recibir la direccin IP falsificada para luego pasarla como parmetro al sistema
operativo que la usar para construir un paquete IP legtimo. El IP Spoofing realmente no es un ataque,
sino una actividad maliciosa que puede anteceder a un ciberataque tan peligroso como el SYN
FLOODING.
El ataque de DNS spoofing, es una agresin que puede ejecutarse usando varias tcnicas y que podra
comprometer desde un solo host hasta el sistema autnomo de un Internet Service Provider ISP e incluso
podra llegar afectar la resolucin de nombres de toda la internet. Podra materializarse suplantando la
respuesta autoritativa del SOA del dominio a suplantar, envenenando la cache de los STUB DNS Servers,
e incluso realizar una transferencia de zona con registros falsificados hacia el DNS Server Secundario.
Ataque de Phishing, esta actividad est asociada con una de las tcnicas de la Ingeniera Social orientada
al usuario final pero apoyada en tecnologa tpicamente orientada a la WEB. La materializacin de este
ataque requiere la ejecucin de unas acciones previas como por ejemplo el Pharming o el DNS Spoofing
para afectar la resolucin de nombres del host victima junto con la puesta en servicio de un servicio WEB
en el que el agresor publica una versin falsificada del sitio que de ser visitado por el usuario incauto
comprometer la confidencialidad de sus credenciales de acceso e incluso de sus activos de informacin.
Campaas APT/ Advanced Persistent Threats

Las Amenazzas Persistenttes Avanzadass (APT) han demostrado

d seer el siguientee paso hacia la
l ciberguerraa
dirigidas a las
l empresas y gobiernos, caracterizadaas por el uso de tcnicas y herramientaas de hackingg
tradicionaless usadas por hackers
h en loss 90 pero con una estrategiaa clara, mayorr eficiencia, sofisticacin
s y
profesionalismo junto co on algunas nuuevas herramiientas como el e software esspa, botnets y tcnicas dee
ingeniera social apoyadaas por ordenaador orientadaas a los empleeados como eel Spear Phiishing. Suss
componentees de malware se propagan ttpicamente a travs de redees P2P, de la ddescarga de to orrents y de laa
suplantacinn de sitios web;
w algunas de las ms famosas
f son: ZEUS, Marriposa, GhostN Net, Mumba,,
Stuxnet, Karrbanac y Machete.
Las tcnicass usadas denttro de las cammpaas APT y sus producctos de malw ware se caractterizan por laa
ejecucin dee tareas de mo
onitorizacin y ciberespionaaje. El resultaado de varias iinvestigaciones incluyendoo
el informe de Kasperky labs sobre eel proyecto sauron
s APT relaciona a ggobiernos leg gtimos comoo
orquestadorees de muchos de estos ataquues informticcos.
El xito de estas campaas radica en lla ejecucin lenta

y suavee de accioness que reducen
n su deteccinn
por parte dee los sistemass de defensa ttradicionales y la deteccin de vulnerabbilidades explotables en ell
personal y de
d da cero en el software.
q el uso de controles de uso comn como los firew

De manera que walls, IPS, sisttemas antiviru
us y pasarelass
antiSPAM estndar
e den su efectiviidad en gran parte por la imposibilidad de identificarr la estrategiaa
pierd
del agresor por
p desconociimiento de lass acciones malliciosas que im
mpactan a los host vecinos.
Figu
ura 5: Caracttersticas de los
l ataques dirigidos
d y perrsistentes.
La figura anterior
a muestra de form ma ms didcctica la inefeectividad de los sistemass de defensaa
tradicionaless ante las ameenazas persisteentes avanzad
das.
Su acciones se hicieron pblicas

p desdee mediados deel 2010 pero tomaron
t mayoor fuerza entree el 2012 y ell
2015, ao en el que allgunas Camppaas APT han h sido las responsables de cortes de d energa enn
instalaciones de generaci
n de energa en Ucrania y en algunos paases de medioo Oriente.

Ejemplo de d estas cam mpaas fue STUXNET descubierta en el 20110 por la empresa dee
seguridad VirusBlokAda
V a20 ubicada enn Bielorrusia; su bot con caaractersticas dde gusano y software
s espaa
fue el prim
mero de su cllase con habiilidades para reprogramar sistemas inddustriales SCA ADA. Todoo
pectores de la agencia interrnacional de energa atmicca que visitaban una plantaa
comenz cuuando los insp
nuclear irann en Natanz,, notaron quee varias mq quinas centriffugas usadas para enriqueecer el uranioo
empezaron a fallar.
Segn la emmpresa de cibeerseguridad S Symantec en su s informe sob bre este hechoo, El productoo de malwaree
probablemennte llego a lo os ordenadorees de la plan nta nuclear a travs de unn pendrive US SB infectado;;
gracias a suss caractersticas de gusano, el bot se prop
pago a travs de la plataform
ma de red hassta localizar ell
software que controlaba a las centrifuggas para posteeriormente copiar parte de su cdigo maalicioso en l;;
tomando liteeralmente el control de estaas mquinas.
Una vez inssertado el pendrive en la raanura USB del ordenador se inicia la seccuencia de pro opagacin dell
bot copiando unos fichero os temporaless al disco duro
o, posteriormeente carga en memoria el primer
p ficheroo
temporal approvechando una vulnerabbilidad del sisstema operatiivo Windowss, luego llevaa a cabo unaa
operacin ded Hooking (tcnica utilizaada por alguno os rootkits paara ocultar conntenido malicciosos) con ell
fichero kerrnell32.dll, luego
l repite el proceso co on el fichero Ntdll.dll e identifica la l llamadas a
libreras esppeciales del sisstema operativvo. Finalmennte carga el segundo ficheroo ejecutable quien
q recibe ell
control de laa ejecucin traansformndosse en un .dll.
Figura 6: flu
ujo de ejecuciin va USB del
d bot STUX
XNET
El objetivo final de STU UXNET fue iinfectar los ficheros

f del controlador
c lgico programmable Simaticc
(PLC). El cdigo y los datos del conntrolador de los dispositiv vos PLC son cargados porr bloques a laa
memoria deel ordenador que
q lo gestionaa a travs de lenguajes com mo STL o SC CL. El cdigo resultante dell
proceso de compilacin
c es
e llamado MC C7. Estos blo oques de cdig go son cargaddos en el PLCC con el fin dee
ejecutar, conntrolar y moniitorear el procceso industriall. La librera llamada
l s7ottbxdx.dll es la
l responsablee
de manejar el intercambio o de los bloquues de datos entre
e el PLC y el ordenadorr con Window ws que ejecutaa

20
http://anttivirus.by/en//index.shtml

el software de gestin llaamado Simat atic manager.. El bot reemp plazaba la libbrera .dll en mencin
m paraa
tomar el conntrol del sistem
ma y reemplazzar parte de su
u cdigo con rutinas
r malicioosas.
Muchas AP PT siguen activas, entre eellas pueden citarse a: Po oseidon21 Pllataforma de Ciberataquess
compleja quue usa backd doors y afeccta a sistemas Windows. Adwin22 Pla lataforma de Ciberataquess
compleja quue usa backdo oors y afecta a sistemas Windows/Linuxx/OS X y Anddroid. Duqu 2,0 2 se basa enn
mas Windows, BlackEnergy2
trojanos y affecta a sistem 23 Plataformaa de Ciberataqques complejaa que Afecta a
sistemas Wiindows/Linux x /Cisco OS. C CloudAtlas24 basada en tro
ojanos, afectaa sistemas Winndows/Linux//
Android/iOS S.
6.1 Estadoo del arte dee las amenaazas y tendeencias a corrto plazo
Segn el infforme Cyber Threats to thee Mining Ind dustry de Tren nd Micro desppus de los effectos nocivoss
de muchas ded las campa as APT en vaarios sectoress principalmen nte en el finannciero, y tras ser enfocadass
inicialmentee al espionajee industrial, eestas estn sieendo reutilizaadas y reorienntadas para im mpactar en laa
disponibilidad de los activos de la induustria de la minera,
m de serv vicios pblicoos y otras que hacen uso dee
sistemas SCCADA.
Figurra 7: Campa a atacar el secctor minero, dde energa y ferroviario.

as APT reuttilizadas para
Los sectoress objetivos dee las campaaas APT antes mencionadass son: el elcttrico, el de minera y el dee
transporte feerroviario, tal como se apreecia en la figurra anterior.
Los investiggadores de Trend

T dicen een su inform
me tener evid dencia del usso de herram mientas de lass
campaas: BlackEnergy,
B SandWorm y Diskkill en laa afectacin de sistemas de control industrial.

21
Camppaa APT desscubierta en ell 2015
22
Camppaa APT desscubierta en ell 2013
23
APT Descubierta en
e el 2013 y qque sigue activ
va
24
APT descubierta en
e Agosto del 2014

La industriaa minera actuaal cuenta conn una infraestrructura de comunicacioness que soporta a una red dee
dispositivos que recolecttan, reciben y transmiten informacin utilizada parra garantizar la operacinn
minera. Estta red de comuunicaciones aalmbrica e inalmbrica no solo interconnecta sensoress y actuadoress
sino tambinn ordenadoress con informaccin sensible que es potenccialmente impportante para compaas
c dell
mismo sectoor, para organizaciones gubbernamentales y grupos al margen
m de la leey que comerrcializan datoss
robados.
El objetivo de estos ciberrataques son eel espionaje in

ndustrial, el robo de datos referentes a los
l precios dee
metales y otros minerales por parte dde la competen ncia a travss del uso de hhackers contrratados; comoo
tambin la interrupcin ded la operacin minera po or parte de grrupos Hacktivvistas que pro otestan por ell
abuso del medio
m ambientee.
El xito de estos ataques se debe priincipalmente escasa implementacin y en muchos casos

c falta dee
controles dee cibersegurid
dad y al nivel de exposicin de muchos de los sistem
mas computaciionales de lass
nternet, como se evidencia en
empresas miineras en la in e la siguientee figura:
Figurra 8: Interfacces Hombre Maquina

M HM
MI expuestas een internet.
Con el uso del motor de bsqueda en lnea de ordeenadores conectados a la innternet llamaddo Shodan255
usado por muchos
m hackerrs; un grupo dde investigado
ores de Trend Micro pudierron localizar y tener accesoo

25
da de ordenaddores en linea, https://www.shodan.io/
Motoor del busqued

al software de
d interface Hombre
H Maquuina de varios sistemas indu
ustriales afirm
man en informee previamentee
mencionadoo.
Como ejempplo de este tip po de ciberataqques podra mencionarse

m fu
ue conocida coomo el primeer ciberataquee
26
contra la inffraestructura elctrica
e de unna nacin en n diciembre del 2015 que coomprometi a 3 compaass
elctricas dee Ucrania, dejjando sin eneerga a ms de d 225 mil viiviendas. Laa intrusin see llev a caboo
desde difereentes fuentes de
d forma sincrronizada lograando el acceso o no autorizaddo a los sistem
mas de controll
gracias a la infeccin previa de varios ordenadores con el software de la camppaa APT BlackEnergy a
travs de ficcheros de offiice. Los agreesores ejecutaaron comandos a nivel de ssistema operattivo e inclusoo
pudieron hacer uso de un software paraa control remo oto industrial va
v VPN.
Segn el repporte anual dee ciberseguridaad de Cisco , Las Botnet sig

guen siendo un peligro crecciente para lass
organizacionnes gracias a sus cientos o miles de ord denadores, dispositivos mvviles e inclusoo dispositivoss
del nuevo Innternet de las cosas (IoT). Evidencia dee ello fue el ataque
a de DDO OS27 ejecutaddo a mediadoss
del mes de octubre
o de estte ao, dirigiddo a la empresa Dyn que proovee servicioss de resoluci
n de nombress
DNS y que alcanzo a dejaar inactivos a los servicios ofrecidos porr: Twitter,PayP
yPal, Play Stattion Networkss
y otras comppaas.
El tiempo de
d CPU y dem ms recursos de los ordenadores zombiies es usado ppara minar Bitcoins,
B robarr
criptomoneddas, generar spam, propaggar diversos tipos de mallware, entre ootras actividaades como laa
realizacin de
d ataques de denegacin dde servicios co
omo el antes mencionado.
m
Segn el innforme de McAfee

M labs ssobre Amenazzas, el robo de informaciin fue uno de los temass
principales de su investiggacin en el 2016, junto con
c el ransom mware y el apprendizaje auttomtico y suu
aplicacin prctica
p en ciberseguridad.
Figura
a 9: Incidentees perdida dee datos segn el nmero dde empleados

26
https://arsttechnica.com//security/2016
6/01/first-know
wn-hacker-cauused-power-ou utage-signals--
troubling-esscalation/
27
Ataqque de Denegaacin de serviccio distribuido
o volumtrico o basado en ppaquetes alterados

Con referenncia al robo ded datos, McA Afee informaa que las fugaas insignificaantes de inforrmacin y lass
motivacionees inocentes han
h quedado een el pasado; la principal motivacin
m de los agresoress es el dinero..
Segn el repporte de Verizon 2016 D Data Breach In nvestigations28 el 89% dee las fugas dee informacinn
fueron provvocadas por motivaciones
m eeconmicas conc tendenciaa al alza desdde el ao 2013, otra de lass
razones idenntificadas fue el espionaje ppor parte de naaciones que deesean aumentaar su influencia poltica.
En la figuraa anterior se aprecia que llas empresas ms grandes representadass por el mayo or nmero dee
s las ms attractivas para el robo de daatos de acuerd
empleados son do con los ressultados de la investigacinn
de Intel Seccurity que co
onfirma que laa principal mo
otivacin es ecconmica.
Por otra partte se ha notad

do un incremennto en el uso de
d sistemas DData Loss Preevention o DLLPs, as comoo
al cumplimiiento de las normativas refferentes a la proteccin
p de datos como lla LOPD Espaaola y la leyy
1581 del 20012 en Colom mbia, pero aunnque el cump plimiento provvoca un aumeento en la sup pervisin y laa
madurez corrporativa refeerente al contrrol de la fugaa de informaccin, el estuddio de Benchm
mark de Intell
Security sobbre proteccinn de datos dell 2016 muesttra que el cummplimiento noo guarda correelacin con laa
efectividad de
d las defensaas de seguridaad ni la preven
ncin de la perrdida de datoss.
La situacinn parece indiccar que muchaas de organizzaciones que usan

u tecnologgas DLP trabajan en modoo
desatendidoo olvidndosse de la moniitorizacin. Enn el informe de Intel antess mencionado
o se evidenciaa
que el 5% de los profesionales de segurridad encuestaados declararo
on no saber cmo funciona su tecnologaa
de prevencin de perdida de datos.
A diferenciaa de los aos anteriores,

a en el 2016 los principales
p cullpables del robbo de datos soon los agentess
externos enttre los que fig
guran hackers maliciosos, organizaciones
o s cibercriminaales e incluso naciones conn
responsabiliidades entre ell 60 y el 80% de las fugas reportadas;
r dee manera que eentre el 20 y el
e 40% siguenn
llevndose a cabo por paarte de los den enominados iinsiders com mo los emplead ados y contrattistas tanto dee
forma intenccional como accidental.
a
Figura 10: Meca

anismos de coonfiguracin de los DLP de
d las empressas segn el nmero
n de
mpleados.
em

28
Inform
me sobre robo
o de informaciin, http://ww
ww.verizonentterprise.com/vverizon-insigh
hts-lab/dbir/

Puede aprecciarse en la figgura anterior que tanto las organizacionees pequeas ccomo las grand des hacen usoo
de la configguracin bsiica en sus siistemas DLP que se basa en expresionnes regularess29. Estas sonn
efectivas parra identificar la fuga de dattos estructurad
dos como los que tpicamennte se usan en
n las empresass
pequeas peero no tienen la misma efeectividad con datos no estrructurados coomo ficheros de texto o dee
ofimtica. Por esto las empresas
e mss grandes gen neralmente rep
portan mayorr cantidad de incidentes dee
seguridad reeferentes a fuggas de informaacin.
Con respecto a los datos robados,

r ha diisminuido notablemente loss activos de innformacin fin
nanciera comoo
las tarjetas de os mdicos y de sanidad, de propiedad in
d crdito y haa aumentado lla fuga de dato ntelectual y laa
informacinn personal, toodos estos tppicamente en formato no estructuradoss como hojas electrnicas,,
documentoss de ofimtica,, de texto y .pddf.
Segn McA Affe, el proceso o de extraccin de informaccin sigue bassndose en anttiguos mtodo
os de hacking,,
el uso de malware
m y los ataques de inggeniera sociial apoyndose con ms freecuencia en laa informacinn
obtenida de medios sociaales. La adquuisicin de loss datos sigue realizndose a travs de medios
m fsicos..
En el 40% de los incideentes reportaddos se usaron n porttiles y pendrives U USB. De form ma remota loss
mtodos ms usados paraa sacar inform macin de las empresas son n a travs de protocolos web,
w de correoo
electrnico y las transfereencias de ficheeros.
Compaas como Cisco, McAfee

M y Kaaspersky labs concuerdan
c en
n que la amennaza digital ms
m importantee
del 2016 ha sido el Ransoomware quienn se ha converrtido en un nuuevo y lucrativvo modelo de negocio paraa
el cibercrim
men, que se ha masificado a nivel mundiaal gracias al in
ncremento de variantes de las cepas mss
peligrosas que
q cada da afectan tanto a End Pointss de escritorio o como a serrvidores, telffonos mviless
inteligentes y hasta SmarttTVs, comproometiendo la disponibilidad
d de los activoss de informacin.
30
mpaa ONA System
Para la com S 50 nnuevas familiaas de Ransom
mware fueron creadas en lo os primeros 6
meses del prresenta ao y en el primer trimestre del ao esta amen
naza digital geener prdidaas econmicass
del orden dee los 206 Millo
ones de dlarees.
1 Lnea de ttiempo del in

Figura 11: ncremento dee las cepas dee ransomwaree.

29
Exprresin regular:: secuencia dee caracteres qu
ue define un patrn a buscarr
30
Com
mpaa de ciberrseguridad par artnet de Intel

Puede aprecciarse en la figura anterioor extrada del d informe de

d Symantec sobre el creecimiento dell
ransomwaree que hay un evidente inccremento exponencial en los l productoss de malware secuestradorr
desde el seggundo trimestrre del 2014 haasta finales dell 2016.
Su propagaacin indiscriiminada ha iimpactado en n todos los sectores

s del mbito corporativo, peroo
principalmennte en las medianas y pequueas empresaas que no cuen ntan con poltticas rigurosass de backup o
que sencillaamente no posseen copias dee seguridad acctualizadas dee su informaciin. La situaacin se tornaa
ms difcil considerando
c que aunque llos precios dee los rescates estn entre llos 100 y los 20.000 euross
(aunque los importes van n aumentandoo a medida queq pasa el tieempo), pagar el rescate no o garantiza laa
recuperacinn de sus datoss.
Figura 12: crrecimiento deel Ransomwa

are a nivel muundial
En la grfica anterior se aprecia el creecimiento del Ransomware desde el terceer trimestre del
d 2014 hastaa
mitad del 20016 segn el in mpresa McAffee Labs sobree amenazas31.
nforme presenntado por la em
Las predicciiones para este 2017 no soon muy alentadoras segn Eset E Security een su informee de tendenciaa
para el 20177 titulado La seguridad com mo rehn hacce referencia a una modaliddad de ransommware llamadaa
por estos innvestigadoress ransomwarre de las cosas o RoT T que abre lla posibilidad d de que loss
ciberdelincuuentes puedan secuestrar disspositivos parra luego exigirr pago por el rrescate que le devolvera ell
control al ussuario. Por ottra parte el innforme antes mencionado
m muestra
m que esste tipo de maalware seguir
afectando al sector salud d tal como loo ha hecho a finales del 2016, 2 esta infformacin coincide con ell
informe sobre amenazas de d McAfee quue justifica la situacin debiido a la falta dde soluciones de seguridad,,
al uso de software anticuaado e incluso a dispositivos mdicos dessactualizados,, todo esto accompaado dee
la necesidadd de tener acceso a la info formacin en tiempo real porp situacionees en donde se podra verr
comprometiida la vida de d los pacienttes. El in
nforme anterior hace refe ferencia a un incidente dee
ciberseguriddad a un prov veedor de serv os de Maryland a los que se les peda una cantidadd
rvicios mdico

31
Inforrme McAfee, http://www.m
h mcafee.com/uss/resources/rep
ports/rp-quarteerly-threats-seep-2016.pdf

importante de Bitcoins32 por el rescate de los datos; Este proveedor decidi desconectar parte de su
plataforma de red para eliminar los mensajes emergentes que reciba cobrando la extorsin; como
resultado la atencin medica se transtorno ya que no era posible concertar citas mdicas, ni consultar
registros de sus bases de datos; el resultado fue la interrupcin de los servicios mdicos de la institucin.
Dentro de las tendencias del riesgo para las organizaciones se vislumbra un incremento en los diferentes
tipos de ataques, principalmente de denegacin de servicio generados por botnets compuestas por DVRs,
NVRs, cmaras de video vigilancia IP, sensores y dems dispositivos hechos zombies y controlados por
C&Cs33.
Tambin parece ser factible un incremento en los ataques a las diversas plataformas Cloud orientados al
SaaS34 y a la IaaS35
El modelo de negocios que representa el ransomware ha hecho factible la tendencia de del incremento del
Ransomware-As-a-Service o RaaS, en donde organizaciones cibercriminales desarrollan la plataforma
tecnolgica incluyendo: sitio web, ejecutable, payload builder, archivos de texto, notas de alerta y la
infraestructura para facilitar los pagos en lnea en bitcoins. Posteriormente los aspirantes a
cibersecuestradores que lo deseen, recibirn el entrenamiento y el acceso a las herramientas dejando como
ganancia para la organizacin criminal una tasa alrededor del 20% de la extorsin. Algunas plataformas
como estas ya han sido identificadas, una de ellas es el resultado de un proyecto conocido como Shark
descubierto por Symantec.
La compaa IBM en su informe titulado X-force Research 2016 Cyber Security Intelligence Index
revelo que la mayor cantidad de incidentes de seguridad reportados estn relacionados con el acceso no
autorizado y en segundo lugar con el cdigo malicioso.
7. Mtodos de propagacin y vectores de ataque
Los principales mtodos de propagacin utilizados por los agresores para comprometer los activos de
informacin son realmente diversos, podra decirse que los atacantes utilizan cualquier tcnica que este a
su alcance para materializar la agresin.
Una de los esquemas de infeccin de malware comnmente usados en la internet es el Drive-by-

download. Segn el artculo publicado por los investigadores [Takada, Amako] Drive-by-download
tambin conocido como (DbD) es llamada as, a la descarga involuntaria de software que proviene de la
internet. Podra afirmarse que se refiere a cualquier descarga de software que se hace sin el
consentimiento del usuario, generada tpicamente por software malicioso ya instalado en el ordenador.
Como tambin se incluyen las descargas autorizadas por el usuario que no tiene claridad sobre sus
consecuencias.
Estas descargas no autorizadas podran darse por ejemplo al hacer click sobre una ventana emergente del
navegador, al consultar el contenido de un mensaje de correo electrnico en formato HTML o que
contenga algn script, incluso por el simple hecho de visitar un sitio web.

32
Criptomoneda digital
33
Servidores de Comando y Control
34
Software como servicios
35
Infraestructura como servicio

Javascript sigue siendo usado como vehiculo de infeccin de sitios web segn reporta el portal de noticias
de la compaa de ciberseguridad Sophos36, ya que este lenguaje de script hace parte integral de las
soluciones web junto con HTML y las hojas de estilo CSS. Incluso esta misma organizacin descubri
una nueva variedad de ransomware escrita totalmente en este lenguaje de scripting, gracias a que el
sistema operativo Windows permite la ejecucin de cdigo javascript y a que su ejecucin no genera una
alerta de seguridad ni requiere permisos de administrador.
Segn informa la Oficina de Seguridad del Internauta OSI37, del instituto Nacional de Ciberseguridad
(INCIBE) en su servicio antibotnet. Productos recientes de malware como el troyano bancario que apoya
a la Botnet Nercus que afecta sistemas operativos Windows 7/8/10 utilizan como mtodo principal de
propagacin el antes descrito.
Otro importante vector de ataque son los Exploits remotos. El mayor xito de este vector de ataque tiene
mucho que ver con la falta de actualizacin de los productos de software de los equipos de las empresas y
de los usuarios que le facilitan a los ciberdelincuentes obtener informacin de las vulnerabilidades
conocidas y algunas veces de da cero de sus potenciales vctimas que facilitan la construccin de este
tipo cdigo malicioso.
Hoy en da es fcil conseguir en el mercado negro38 los llamados exploit Kits, que no son ms que un
conjunto de herramientas de malware que permiten fcilmente explotar debilidades conocidas con un
conocimiento tcnico mnimo. Segn la empresa Eset Security, estas herramientas hacen parte de un gran
negocio de la ciberdelincuencia llamado Malware as a service que permiten evadir los sistemas de
seguridad y que cualquier agresor puede adquirirse de forma modular con servicio de soporte incluido.
Es muy comn que estos Exploit Kits cuenten con una interface de usuario intuitiva que permita su fcil
uso a usuarios noveles garantizando a los creadores de estas herramientas un negocio bastante lucrativo.
Muchas de estas herramientas de malware permiten a sus clientes, crear binarios para explotar
vulnerabilidades particulares, agregar tcnicas de evasin de antimalwares e incluso armar su propia
Botnet estableciendo un servidor de Comando y Control (C2) a travs del cual enviar correo spam o
publicar en los sistemas comprometidos sitios web maliciosos que finalmente le permiten al agresor
obtener nmeros de tarjetas de crdito, credenciales y todo tipo de informacin confidencial para
posteriormente sacar provecho propio de ellas o comercializarlas en el mercado negro.
Un ejemplo de estos Exploit kits es Phoenix39, desarrollado por Alex Udakov arrestado en Rusia en el
2013, por desarrollar y comercializar software malicioso. Este producto de software analizaba el
Browser de la vctima buscando debilidades explotables incluso en sus plugins, los de Acrobat Reader y
el JRE; una vez detectada la vulnerabilidad, el Exploit kit instalaba adware, spyware y software de
phising en el sistema vctima.
Un mtodo de propagacin que ha demostrado su xito es el SPAM, en la grfica siguiente se aprecia el

incremento del volumen del trfico considerado como spam desde el ao 2012 entregado por Composite
Blocking List CBL generado por ordenadores enviando mensajes que contienen malware.

36
https://www.sophos.com/es-es/security-news-trends/security-trends/malicious-javascript.aspx
37
https://www.osi.es/es/servicioantibotnet/info/necurs
38
http://www.welivesecurity.com/laes/2016/06/13/cambioskitsdeexploits/
39
https://krebsonsecurity.com/tag/phoenixexploitkit/

Figura
a 13: Volumeen de trfico considerado
c como SPAM en Internet.
El incremennto global de este

e tipo de trfico que se evidencia
e en laa grfica anterrior parece seer el resultadoo
del incremeento del nmeero de zombiees de las bottnets propagaadoras de SPA AM, principallmente de la
botnet Nerccus. Hoyy en da esta botnet es con nsiderada por Cisco en su ms recientee informe dee
ciberseguriddad como el veector primarioo de propagacin del ransokkmware lockyy.
Los vectores de ataque y mtodos de ppropagacin antes descritos tienen una mmayor probabilidad de xitoo
con el uso de
d la estrategiaa que ha demo
mostrado los mejores
m resultaados explotanddo la confianzza del eslabnn
ms dbil de
d la seguridaad de las orgaanizaciones, las
l personas. Esta estrateggia es llamad da Ingenieraa
Social.
8. Conclu
usiones
En este artculo se ha abordado
a el rriesgo al que estn expuestos los activvos de inform macin de lass
empresas enn la segunda dcada
d del sigglo XXI; parttiendo de la relevancia de llos activos dee informacinn
consideradoos como la maateria prima dee los procesoss de negocios y el activo ms difcil de reecuperar si noo
se salvaguarrda correctameente.
La digitalizaacin facilita el tratamientoo de la inform

macin, y su procesamiento permite el accceso a nuevoo
conocimientto que aceleraa vertiginosam mente la compeetitividad corpporativa, al iguual que el mejjoramiento dee
los servicios y producto os ofrecidos aal mercado, y permite quee las empresaas de esta dcada puedann
predecir las tendencias deel mercado y rreorientar sus esfuerzos.
La Tecnodeependencia im mplica en s mi
misma una nueeva responsabiilidad que debbe ser tenida en cuenta porr
las organizaaciones de tod
do tipo, ya quee muchas de lasl herramienttas tecnolgiccas que se con nsideran clavee
para los proocesos de neggocios, princippalmente los de misin crrtica o de corre de las emp presas, tienenn
embebidas vulnerabilidad
v des que de serr explotadas podran converrtir a la infraesstructura tecnnolgica en unn
arma de dooble filo, que afectaran laa disponibilid dad, confidenccialidad e inttegridad de lo os activos dee
informacinn llegando inclluso a paralizaar las operacio
ones y a afectaar las finanzass de las empreesas.
Despus de documentar los principalees fallos tecn nolgicos de la infraestrucctura computaacional de lass
empresas, es claro que laas vulnerabiliidades estn presentes
p en casi
c todos loss sistemas tan nto a nivel dee
hardware coomo de softwaare, y que sonn el resultado de la omisin n de la seguriddad de la inforrmacin en ell
producto. Bien
B sea a parrtir la ingenieera de requisitos, o en laas fases posteeriores de la ingeniera dee
software, quue incluyen el diseo y la coodificacin deel producto, all igual que la eejecucin de las
l pruebas, laa
revisin de la declaracinn de variabless, de apuntado ores, uso de fuunciones y mtodos vulnerrables al iguall
que la gestin de excepcio
ones principallmente.

Conociendo esta situacin ya no solo hackers maliciosos independientes, sino muchas organizaciones
cibercriminales estn aunando esfuerzos en pro de la explotacin de sistemas computaciones y de red a
nivel mundial, de empresas de todo tipo, sector financiero y gubernamental, a travs del uso de software
malicioso cada vez ms especializado. Como tambin, a travs de las recientes campaas apoyadas en
Amenazas Persistente Avanzadas - APT que son consideradas como la evolucin de los ataques
informticos tradicionales. Mimetizndose entre el trfico de red y de servicios legtimos, llegando a
explotar debilidades que ni siquiera el fabricante conoce, llamadas vulnerabilidades de da cero. Otra
caracterstica de las APTs es la baja probabilidad de deteccin por parte de los sistemas AntiMalwalware
y tpicos controles de permetro, muchas veces por el uso de riskware en vez del malware tradicional.
Puede observarse a travs de esta investigacin es el crecimiento del CaaS, o crimen como servicio a
travs del cual las organizaciones desarrolladoras de malware ofrecen sus productos e infraestructura en
modo alquiler para que cualquier persona u organizacin materialice un ataque contra terceros. Muchos
de estos servicios hacen uso de tcnicas anti forenses para evitar la judicializacin de los agresores. Este
tipo de servicios est en crecimiento y ha dado paso al RaaS o Ransomware como servicio apoyado en kit
de herramientas publicadas en la nube que no requieren de conocimientos tcnicos avanzados para ser
usadas, y que facilitan la extorsin como resultado del secuestro de los activos de informacin de
empresas y personas.
Es claro que el comportamiento del malware tradicional y tcnicas de hacking han cambiado y estn
evolucionando, hacindose cada vez ms difciles de detectar; el camuflaje y la suplantacin, ms el uso
creciente de tcnicas de ingeniera social, hacen que los sistemas de deteccin y control tradicionales sean
inefectivos.
Se considera entonces que existe una necesidad creciente de salvaguardar los activos de informacin de
las empresas debido a la integracin de la computacin con los procesos corporativos y a la inefectividad
de los sistemas de deteccin y control de amenazas digitales disponibles en el mercado. Por esto el autor
considera que es necesario un cambio de paradigma en el proceso de deteccin de amenazas. A pesar de
que existen Sistemas de gestin de eventos de seguridad de la informacin SIEMs que realizan
correlacin de eventos de seguridad, no son adaptativos y carecen de la inteligencia que les permita
afrontar nuevas amenazas de forma autnoma sin intervencin humana.

9. Bibliografa
AGUILAR Angie, (2015), [En lnea]: Qu es y cmo opera un ataque de Cross-Site

Scripting (XSS)?, Mxico, pp. 1:
[http://www.seguridad.unam.mx/documento/?id=35]
CISCO, (2017), [En lnea]: Informe de Ciberseguridad de Cisco 2017, pp. 10-26,
[http://b2me.cisco.com/en-us-annual-cybersecurity-report-
2017?keycode1=001464170]
COLOURIS George, DOLLIMORE Jean and KIMBERG Tin, (2001): Sistemas

Distribuidos: Conceptos y diseo, 3ra Edicin, Addison Wesley, pp. 744
CSIRT de la comunidad valenciana (2016), [En lnea]: Aparece una nueva versin del
APT Duqu, pp. 1, [https://www.csirtcv.gva.es/es/category/tags/apt]
CYBSEC Security Systems, (2007), [En lnea]: Seguridad en el ciclo de vida del
desarrollo de software, vulnerabilidades en el desarrollo de software, pp. 1-
20,[http://www.cybsec.com/upload/cybsec_Tendencias2007_Seguridad_SDLC.pdf]
ECURED, (2016), [En lnea]: Conocimiento para todos: Caractersticas del gusano
informtico MYDoom, pp.1,[https://www.ecured.cu/Virus_informtico_Mydoom]
ENHACKE, (2016), [En lnea]: Ransomware como un servicio altamente lucrativo

apunta a acelerarse en 2017, pp.
1,[http://www.enhacke.com/2016/12/19/ransomware-apunta-a-acelerarse-2017/]
ESET, (2017), [En lnea]: Tendencias de ciberseguridad Eset Security 2017: La

seguridad como rehn, pp. 3-55, [http://www.welivesecurity.com/wp-
content/uploads/2016/12/Tendencias-2017-eset.pdf]
GLOBB Security, (2016) [En lnea]: El uso de software ilegal en empresas impacta
directamente su ciberseguridad, pp.1, [http://globbsecurity.com/software-ilegal]

GOLOVANOV Sergey, (2013), [En lnea]: Spyware Analisys: Software RCS Analisys
by Kaspersky and exposed in secure list, pp.1 ,
[https://securelist.com/analysis/publications/37064/spyware-hackingteam]
ISO, (1989) [En lnea]: Estandarizacin del No Repudio segn la ISO como parte de la
arquitectura de seguridad propuesta en la ISO-7498-2 , pp. 3.
[https://www.iso.org/obp/ui/#iso:std:iso:7498:-2:ed-1:v1:en]
IBM (2016), [En lnea]: X-force Research 2016 Cyber Security, pp.1-20,[https://www-
01.ibm.com/marketing/iwm/dre/signup?source=mrs-form-2988&S_PKG=ov47123]
INTEL Security, (2016), [En lnea]: Data Protection Benchmark Study, pp. 2-
25,[https://www.mcafee.com/us/resources/reports/rp-data-protection-benchmark-
study-ponemon.pdf]
ISO, (2016), [En lnea]: Trminos relacionados con ISO 27000 y seguridad de la
informacin: Definicin del concepto de Riesgo. pp. 1,
[http://www.iso27000.es/glosario.html]
KASPERSKY, (2016), [En lnea]: Amenazas para los datos Kaspersky labs: Los tipos
de malware, pp.1, [http://support.kaspersky.com/sp/viruses/general/614]
KASPERSKY, (2016), [En lnea]: Proyecto Sauron APT, kaspersky labs: Amenaza
Persistente Avanzada,pp.3-22,[https://securelist.com/files/2016/07/The-
ProjectSauron-APT_research_KL.pdf]
KASPERSKY, (2012), [En lnea]: Informe APT FLAME, Kaspersky Labs Anlisis de
amenazas, pp. 5-84 , [https://securelist.com/files/2015/12/Kaspersky-Security-
Bulletin-2015_FINAL_EN.pdf]
KRUTZ, R. L., VINES, R. D. (2002): The CISSP Prep Guide: Gold Edition.
John Wiley & Sons, Inc., New York, NY, USA, pp. 8-11.
MARTINEZ Sergio, (2016), [En lnea]: Amenazas a la banca mvil: Malware para los
mviles, pp. 1, [http://globbsecurity.com/amenazas-banca-movil-top-10-malware-
37372/]

MCAFEE, (2016), [En lnea]: Informe sobre amenazas de la empresa McAfee

Labs/Intel Security, pp. 6-49,[http://www.mcafee.com/us/resources/reports/rp-
quarterly-threats-sep-2016.pdf]
ONASYSTEMS, (2016), [En lnea]: Ransomware y sus efectos: Evolucin del

ransonware, Colombia, pp.1, [http://www.onasystems.net/derrotando-el-
ransomware/]
ORIYANO Sean-Philip, (2014), Certified Ethical Hacker study guide, Volume 8,

Sybex, Indiana, pp. 352404.
OWASP. (2014), [En lnea]: Top 10 2013-A3-Cross-Site Scripting (XSS), EEUU, pp.1,
[https://www.owasp.org/index.php/Top_10_2013-A3-Cross-Site_Scripting_(XSS)]
SYMANTEC, (2010), [En lnea]: Informe APT Stuxnet, Symantec Security Response:
Anlisis de STUXNET, pp.2-68 ,
[https://www.symantec.com/content/en/us/enterprise/media/security_response/white
papers/w32_stuxnet_dossier.pdf]
TANENBAUM Andrew S. and VAN RENESSE Robbert, (1985), Distributed

Operating Systems. ACM Computing Surveys (CSUR), Volume 17, Issue 4. MIT
Press, Pags. 419-470.
TETSUJI Takada , KATSUHIRO Amako, (2015), [En lnea]: A Visual Approach to

Detecting Drive-by Download Attacks, ACM Computing Surveys (CSUR) Tokyo,
Japan.
[http://dl.acm.org/citation.cfm?id=2801070&CFID=736718060&CFTOKEN=1364
6926]
TRENDMICRO, (2015), [En lnea]: Security-intelligence cyber threats to the mining

industry,pp.1-46,[http://www.trendmicro.com/cloud-content/us/pdfs/security-
intelligence/white-papers/wp-cyber-threats-to-the-mining-industry.pdf]
VENOSA Paula, MACAS Nicols, (2016) [En lnea]: Dispositivos mviles y el

fenmeno del BYOD: Su impacto en la seguridad de las organizaciones, pp. 1-10
[http://sedici.unlp.edu.ar/bitstream/handle/10915/56375/Documento_completo.pdf-
PDFA.pdf?sequence=1]


Riesgos de Ciberseguridad en Las Empresas

Încărcat de

Informații document

Drepturi de autor

Formate disponibile

Partajați acest document

Partajați sau inserați document

Opțiuni de partajare

Vi se pare util acest document?

Este necorespunzător acest conținut?

Drepturi de autor:

Formate disponibile

Riesgos de Ciberseguridad en Las Empresas

Încărcat de

Drepturi de autor:

Formate disponibile

TEC

UNIVERS SIDAD ALFONSO X EL SABIO O

Del texto: Enrique Javier Santiago, Jess Snchez Allende

No est permitida la reproduccin total o parcial de este artculo, ni su almacenamiento o

Tecnolog@ y desarrollo. ISSN 1696-8085. Vol.XV. 2017

Enrique Javier Santiago, Jess Snchez Allende

KEY-WORDS: Vulnerabilities, Threats, Risk, Malware, Internet of Things, BYOD

El artculo est estructurado en diferentes apartados:

Para continuar, en el apartado 2 justificando la importancia de la informacin para las organizaciones. Y

Posteriormente en el apartado 4, se relacionan los componentes del riesgo en trminos de la probabilidad

Finalmente en el apartaado 8 se muuestran las co onclusiones obtenidas

Concluiremoos con la bibliiografa y los recursos de co

2. Impoortancia de la Informaacin para las organizzaciones

Podra decirrse que las meedidas de riesggo de la seguriidad de la info

Figurra 1: Confidencialidad, inttegridad y dissponibilidad como princippios fundameentales de la

La Disponibilidad hace referencia a la garanta de que la informacin sensible de la organizacin estar

El No Repudio es un servicio que proporciona la no renuncia de la responsabilidad de los actores que

La informacin se considera como la materia prima en la operacin de las organizaciones en un mundo

3. Tecno dependencia y su efecto en las organizaciones.

3.1 Porque la Tecno

Los sistemaas distribuidoss nacieron a m

Para los sisttemas distribu

Ordenadores visibles a travs de la internet, conectados a la red inalmbrica o desde la misma

Cuantos ms activos/componentes estn expuestos y cuenten con vulnerabilidades explotables, la

La naturaleza misma de los sistemas distribuidos y la necesidad de interoperabilidad de sistemas de

4. Riesgo y sus comp

Segn el poortal de ISO 27001

Todo activoo de informacin podra tenner por lo men

En la figura siguiente pueden

P(Vulnerabilidad y Amenaza)= P(Vulnerabilidad) x P(Amenaza)

P(Vulnerabilidad y Amenaza) = P(Riesgo Intrnseco)

Entonces podra representarse a la probabilidad de riesgo intrnseco con la siguiente ecuacin:

P(Riesgo intrnseco)= P(Vulnerabilidad) x P(Amenaza)

En el contexto de la seguridad de la informacin, la probabilidad de la materializacin del riesgo

P(Incidente seguridad)=P(Riesgo Intrnseco);

P(Riesgo intrnseco)= P(Vulnerabilidad) x P(Amenaza)

Severidad Riesgo = [Probabilidad de un incidente de seguridad] x [Impacto causado]

Al final de la implementacin de las medidas de proteccin y monitorizacin deben considerarse la

5. Riesgos de Seguridad en las organizaciones

Aunque la mayor cantidad de vulnerabilidades son adicionadas al producto en la fase de implementacin

Ejemplo de esto, es la vulnerabilidad en el API de PHP11 descubierta por el investigador de seguridad

En algunas otras situaciones se adicionan vulnerabilidades en los procesos corporativos durante la

Actividades de espionaje y seguimiento.

Carrier: es el componente de fachada y transporte del payload, generalmente sirve de carnada

A su vez el spyware puede catalogarse como:

De acuerdo al nivel en el que operan, los rootkits pueden ser:

Hypervisor level: Modifican la secuencia de arranque y se cargan a si mismos en el hypervisor.

Exploits y exploits kits

Los exploits son rutinas de cdigo resultado de la automatizacin de procedimientos de explotacin de

5.2 La nueva Era dell Malware

El Softwaree malicioso ha evolucionnado a partirr de la confformacin dee grupos estrructurados dee

RATs/Remote Access Trojan:

6. Principales ataques informticos que afectan a las organizaciones

A continuacin se relacionan los principales ataques dirigidos a la plataforma de comunicaciones que

El Reply Attack o Ataque de repeticin se basa en el reenvi de credenciales cifradas o huellas

Un ejemplo del el mensaje de respuesta manipulado seria el siguiente:

Input=usuario_malicioso\r\n HTTP/1.1 200 OK\r\n

Campaas APT/ Advanced Persistent Threats

Las Amenazzas Persistenttes Avanzadass (APT) han demostrado

El xito de estas campaas radica en lla ejecucin lenta

q el uso de controles de uso comn como los firew

Su acciones se hicieron pblicas

El objetivo final de STU UXNET fue iinfectar los ficheros

Figurra 7: Campa a atacar el secctor minero, dde energa y ferroviario.