Amenazas y Ataques

Panorama general

Introducción

Como resultado de la creciente conectividad, los sistemas de información y las redes, son
más vulnerables. Ya que están expuestos a un número creciente (y de gran variedad) de
amenazas.

Esto hace que surjan nuevos retos que deben abordarse en el tema de seguridad.

Objetivo

Al término del capítulo, el participante analizará las tendencias actuales de ataques a la

seguridad en las redes de datos, de acuerdo a los estándares internacionales.

En este capítulo

En este capítulo se abordarán los siguientes temas:

 Amenazas

Amenazas

Acciones de Documento






Introducción

Las redes de datos son atacadas principalmente por personas, quienes intencionalmente
o no, pueden afectar a los elementos o recursos interconectados. Sin embargo, no se
puede descartar a aquellas amenazas lógicas que fueron creadas para dañar (software
malicioso o malware) o incluso fallas en la programación de las aplicaciones (bugs o
agujeros), que aún no siendo su fin, pueden ocasionar daños o perdidas.

También se pueden considerar como amenazas a las catástrofes naturales o artificiales,

ya que nadie se escapa de la probabilidad de sufrir un terremoto, una inundación o una
falla en el suministro de corriente eléctrica.

Origen de las Amenazas

Las amenazas no se originan desde una sola fuente, pueden provenir de una persona (o
varias), de una falla de programación o configuración, e incluso de una catástrofe natural,
basándose en esto podemos definir tres grupos:
  Personas
 Amenazas Lógicas
 Catástrofes

Figura 2.1 Amenazas Informáticas

Personas

Generalmente se dividen en dos grandes grupos:

 Atacantes pasivos, aquellos que fisgonean por el sistema pero no lo modifican o

destruyen.
 Atacantes activos, aquellos que dañan el objetivo atacado, o lo modifican en su
favor.

En la tabla 2.2 se describen algunos ejemplos.

Tabla 2.2

Ejemplo Descripción
Rara vez son tomadas en cuenta las amenazas
provenientes del personal de la propia organización, por lo
que se puede pasar por alto el hecho de que casi cualquier
persona de la organización puede comprometer la
Empleados
seguridad de los equipos.
Aunque los ataques pueden ser intencionados, lo normal
es que se trate de accidentes causados por un error o por
desconocimiento de las políticas de seguridad
Estos términos se aplican a los entusiastas del estudio de
las computadoras que sienten placer en conseguir acceso
a las computadoras o las redes.
Hackers y
Otros designados a menudo como "crackers" son más
Crackers
maliciosos, pudiendo tomar el control de un sistema, robar
o dañar datos confidenciales, desconfigurar las páginas
Web, e incluso interrumpir el servicio.
 Ejemplo Descripción
Este es el grupo de atacantes más peligroso, teniendo
como principal blanco a las grandes empresas o a
organismos de defensa.
Son piratas con gran experiencia en asuntos de seguridad
Intrusos
así como un amplio conocimiento de la red y los sistemas,
Remunerados
son pagados por una tercera parte (la competencia o un
organismo de inteligencia), generalmente para robar
secretos o simplemente para dañar la imagen de la entidad
afectada.

Amenazas Lógicas

Bajo la etiqueta de amenaza lógica, se encuentran todo tipo de programas que de una
forma u otra pueden dañar a nuestro sistema, creados de forma intencionada para ello
(malware) o simplemente por error (bugs o agujeros)

En la tabla 2.3 se describen algunos ejemplos.

Ejemplo Descripción
Las amenazas más habituales a un sistema provienen de
errores cometidos de forma involuntaria por los
Software programadores de sistemas. A estos errores de
Incorrecto programación se les denomina bugs, y a los programas
utilizados para aprovechar estos fallos y atacar al sistema,
exploits.
Cualquier herramienta de seguridad representa un arma de
doble filo. Ya que de la misma forma que un administrador
Herramientas las utiliza para detectar y solucionar fallos en sus sistemas
de Seguridad o en la subred completa; un potencial intruso las puede
utilizar para detectar esos mismos fallos y aprovecharlos
para atacar los equipos.
Durante el desarrollo de grandes aplicaciones o de
sistemas operativos es habitual entre los programadores
insertar 'atajos' en los sistemas de autenticación del
programa.
Puertas Algunos programadores pueden dejar estos atajos en las
Traseras versiones definitivas de su software para facilitar un
mantenimiento posterior, para garantizar su propio acceso,
o simplemente por descuido. Sí un atacante descubre una
de estas puertas traseras, va a tener acceso a datos que
no debería poder leer.
Los canales cubiertos son canales de comunicación que
permiten a un proceso transferir información de forma que
Canales viole la política de seguridad del sistema; dicho de otra
Cubiertos forma, un proceso transmite información a otros (locales o
remotos) que no están autorizados a leer dicha
información.
 Ejemplo Descripción
Un virus es una secuencia de código que se inserta en un
archivo ejecutable (denominado huésped), de forma que
cuando el archivo se ejecuta, el virus también lo hace,
Virus
insertándose así mismo en otros programas.
Cuando una computadora en la red ha sido infectada, es
muy probable que las otras computadoras se infecten.
Un gusano es un programa capaz de ejecutarse y
propagarse por sí mismo a través de la red, en ocasiones
portando virus o aprovechando bugs de los sistemas a los
que se conecta para dañarlos.
Gusanos
En un ataque a la red, mientras que una persona puede
tardar como mínimo horas en tomar el control (tiempo
razonable para detectarlo), un gusano puede hacer eso
mismo en pocos minutos.
Los troyanos o caballos de Troya son instrucciones
escondidas en un programa, de forma que éste parezca
Caballos de
realizar las tareas que un usuario espera de él, pero que
Troya
realmente ejecute funciones ocultas (generalmente en
detrimento de la seguridad) sin el conocimiento del usuario.

Catástrofes

Las catástrofes (naturales o artificiales) son las amenazas menos probables contra los
entornos habituales. Sin embargo, el hecho de que estas amenazas sean las menores, no
implica que contra ellas no se tomen unas medidas básicas, ya que si se produjeran,
generarían los mayores daños. Algunos ejemplos de amenazas por catástrofes, son:

 Terremotos
 Inundaciones
 Incendios
 Humo
 Cortes eléctricos
 Atentados de baja magnitud

 Ataques

Ataques

Acciones de Documento






Introducción
En los primeros años, los ataques involucraban poca sofisticación técnica. Los ataques
internos se basaban en utilizar permisos para alterar la información. Los externos se
basaban en acceder a la red simplemente averiguando una clave válida.

A través de los años, se han desarrollado formas cada vez más sofisticadas de ataque,
para explotar vulnerabilidades en el diseño, configuración y operación de los sistemas.

Esto permitió a los nuevos atacantes tomar control de sistemas completos, produciendo
verdaderos desastres que en muchos casos llevaron a la desaparición de aquellas
organizaciones o empresas con altísimo grado de dependencia tecnológica (bancos,
servicios automáticos, etc.)

Principales Métodos de Ataque a la Red

A continuación, se despliega una lista de ataques que por su importancia tienen una
mención en la literatura conocida.

Sin embargo, los ataques reales se combinan con ataques no conocidos, novedosos o en
muchos casos ocasionados por errores.

 Reconocimiento

Reconocimiento

Acciones de Documento






Descripción

Se realiza a través de un mapeo y descubrimiento desautorizado de la red. El intruso

típicamente barre la red a través de la ejecución de un PING para determinar qué
direcciones IP están vivas.

Después de esto, utiliza un explorador de puertos para determinar qué servicios o puertos
de red (TCP o UDP) están activos.

Con esta información, puede determinar si existe una vulnerabilidad que puede ser
explotada. Como se observa en la figura 2.2.
Figura 2.2 Reconocimiento

 Eavesdropping

Eavesdropping

Acciones de Documento






Descripción

El espiar (snooping) y el "observar" los paquetes en la red (sniffing) son términos

comunes para el eavesdropping.

El eavesdropping es el escuchar una conversación, espiar, husmear. La información

recolectada por eavesdropping se puede utilizar para planear otros ataques a la red.

Un ejemplo de los datos susceptibles al eavesdropping, son las secuencias utilizadas en

las comunidades SNMP versión 1, ya que se envían en texto claro. Un intruso podría
hacer eavesdropping en los intercambios de información de SNMP, y recopilar datos
valiosos de la configuración del equipo de la red.

Otro ejemplo, es la captura de nombres de usuario y contraseñas, números de la tarjeta

de crédito o información personal sensible, cuando cruzan una red.
Un método común para realizar eavesdropping en comunicaciones, es capturar paquetes
TCP/IP o de otros protocolos y descifrar el contenido usando un analizador de protocolos
o una utilidad similar. Ver figura 2.3.

Figura 2.3 Eavesdropping

 Acceso

Acceso

Acciones de Documento






Descripción

El ataque por acceso a los sistemas, es la capacidad para que un intruso desautorizado
acceda a un dispositivo para el cual no tiene una cuenta o una contraseña. Ver figura 2.4.

Generalmente para lograr estos privilegios, se ejecuta un comando específico o se utilizan

herramientas que exploten una vulnerabilidad conocida del sistema o de la aplicación
atacada.
Figura 2.4 Ataque por Acceso

En la tabla 2.4 se describen algunos ejemplos de ataque por acceso por el método
utilizado y en la tabla 2.5 se describen algunos ejemplos específicos.

Tabla 2.4

Método Ejemplos
Pishing, caracterizado por intentar adquirir información
Ingeniería social
confidencial de forma fraudulenta.
Requiere que el atacante tenga acceso a los paquetes
Ataque "Hombre en que transitan en la red, por ejemplo, un trabajador del
el medio" (Man-in- Proveedor de Servicios de Internet (ISP)
the-middle attack) Hacen uso de analizadores de protocolos o equipos
sniffers.
Cuando varios servidores están en mismo segmento
de red, una vez que el intruso rompe la seguridad en
Aprovechando uno de ellos, puede comprometer la seguridad de los
relaciones de otros Cuando un servidor está en una zona
confianza entre desmilitarizada (DMZ) fuera del firewall, pero mantiene
servidores una relación de confianza con los servidores
protegidos, sí el intruso logra el control de este primer
servidor puede tener acceso a los otros.
Cuando el intruso puede capturar, manipular y replicar
Ataque por los datos enviados a través de un canal de
manipulación de comunicación Ejemplos de este método son el "graffiti"
datos y manipulación de los datos de una computadora
específica.
Método por el cual se falsifica la dirección IP fuente,
para que el servidor remoto la tome como válida
IP spoofing (IP
Normalmente el intruso se limita a inyectar datos o
falsificada)
comandos en una trama IP ya existente, enviada en
una conexión cliente servidor o una conexión punto a
 Método Ejemplos
punto, sin esperar respuesta del destino
Para lograr una comunicación bidireccional el intruso
necesita conseguir acceso al servidor y cambiar las
tablas de enrutamiento para que lo enviado a la
dirección IP válida sea tomado por la dirección IP
falsa.
Son programas que automatizan el proceso entero.
Las computadoras son exploradas, se sondean y se
capturan secuencialmente.
Programas auto El proceso de la captura incluye la instalación de un
ejecutables rootkit en la computadora, el cual es utilizado para
(Autorooters o controlar el sistema y a través de él, automatizar el
BOTS) proceso de la intrusión a otros sistemas.
La automatización permite que un intruso explore
centenares de millares de sistemas en un corto
período de tiempo.

 DoS (Negación de Servicio / Denial of Service)

DoS (Negación de servicio)

Acciones de Documento






Descripción

La negación del servicio (DoS) implica que un atacante inhabilite o corrompa las redes,
los sistemas o los servicios con la intención de negar la disponibilidad de los servicios a
los usuarios previstos.

A través de este ataque se intenta quebrantar los sistemas o hacerlos tan lentos al punto
de que sean inutilizables.

El intruso no necesita de un acceso privilegiado a la red o sistema, ya que un acceso en

si, por simple que sea, es todo lo que necesita.

E-mail bombs (Bombas de correo electrónico)

Mediante el uso de códigos maliciosos, se envía una gran cantidad de mensajes de

correo electrónico a una dirección específica intentando sobrecargar y potencialmente
interrumpir el funcionamiento de un servidor de correo o llenar el espacio de disco duro.
E-mail spamming

Consiste en enviar grandes cantidades de e-mails masivos, que saturan los servicios de
correo electrónico de los usuarios.

Estos mensajes suelen ser de contenido engañoso y su peligro se incrementa si los

destinatarios de correo deciden responder, ya que multiplican el número de correos en
tránsito por la red.

CPU hogging (CPU Enganchado)

Programas maliciosos tales como virus o caballos de troya (siendo la mayoría programas
Java, JavaScrip o ActiveX), consumen los recursos de la PC, tales como memoria, CPU u
otros, con el fin de colapsarla y que no pueda ser utilizada.

SYN flood Attack (Inundación con Paquetes SYN)

Este ataque aprovecha el funcionamiento del protocolo TCP. Cuando se realiza la

conexión, si el paso final no llega a establecerse, esta permanece en un estado
denominado "semiabierto".

El problema es que muchos sistemas operativos tienen un límite muy bajo en el número
de conexiones "semiabiertas". Este ataque suele combinarse con IP spoofing, como se
observa en la figura 2.6.

Figura 2.6 Syn Flood

 DDoS (Ataques DoS distribuidos / Distributed DoS attacks)

DDoS (Ataques DoS distribuidos)

Acciones de Documento






Descripción

Los ataques DoS distribuidos (DDoS) se diseñaron para saturar los enlaces de la red con
datos no deseados, provocando que el tráfico legítimo no pueda ser transmitido.

Los métodos de ataque de las aplicaciones DDoS son similares a los ataques DoS pero
funcionan en una mayor escala. Típicamente se procura abrumar a un solo blanco desde
centenares o millares de puntos de ataque.

Smurf

Se llama así debido al nombre de uno de los programas que se usan para realizar estos
ataques. Aquí, la maquina que origina el ataque (usando IP spoofing) envía un gran
número de pings hacia direcciones broadcast. Cada ping tiene como dirección origen la IP
del servidor a ser atacado.

Si el enrutador que entrega el paquete a la IP destino envía el paquete de broadcast a

nivel 2 (del modelo OSI), la mayoría de los hosts dentro de la red responden al ping,
multiplicando el tráfico original tantas veces como el número de maquinas que respondan
al echo ICMP.

Figura 2.7 Smurf

TFN (Tribe Flood Network)

TFN y TFN2K (Tribe Flood Network 2000) son aplicaciones usadas para lanzar ataques
DoS coordinados desde muchas fuentes contra uno o más blancos. Sus características
son:

 Una red TFN se basa en un esquema jerárquico de maestro (cliente) y esclavo

(demonio), donde se instalan códigos maliciosos en las máquinas atacadas y en
las usadas para atacar.
 Un intruso envía a través del maestro instrucciones de ataque a una lista de
servidores con demonios TFN, mismos que generan el tipo especificado de ataque
DoS contra una o más direcciones IP.
 Las direcciones IP origen así como los puertos utilizados pueden ser
seleccionados al azar (IP spoofing), y los tamaños de paquete pueden ser
alterados.
 Una máquina configurada como maestra requiere una lista de direcciones IP para
la instalación y control de los demonios. Hacen uso de los paquetes "ICMP echo" e
"ICMP echo reply" para la comunicación entre clientes y demonios.

Figura 2.8 TFN

Stacheldraht

Stacheldraht, término alemán que se refiere al "alambre de púas", es un método de

ataque que combina las características de varios ataques DoS, incluyendo el TFN.

Sus principales características son:

 Añade el cifrado de las comunicaciones entre el atacante y el equipo maestro, así

como la actualización automática de los agentes.
 En la fase inicial de esta intrusión masiva, se utilizan herramientas automatizadas
para remotamente comprometer la administración de varios sistemas que servirán
para el ataque.
A continuación comienza la fase de ataque DoS, donde estos sistemas que ya fueron
comprometidos son utilizados para atacar uno o más sitios.

Académica comunidad Digital de investigación e Innovación, México (2009) Amenazas y

ataques. Retomado de: http://cursoslibres.academica.mx/206/seguridad-en-redes/2-
amenazas-y-ataques