Cyberseguridad

Ataques


Fingerprinting: reconocimiento de una maquina. Busca información de sistema operativo, aplicaciones en ejecucion, procesos, puertos a la escucha abiertos sin proteccion.
Foreshadow: es un ataque de ejecución especulativa en procesadores Intel que permite a un atacante robar información confidencial almacenada dentro de computadoras personales o nubes de terceros.
Ingenieria social: Recopilación de información personal sin el uso de la tecnología. Ej: mentiras, trucos, sobornos, amenazas.
Phising: Método de ataque que busca obtener información personal o confidencial de los usuarios por medio del engaño o la picaresca, recurriendo a la suplantación de la identidad digital de una entidad de confianza en el ciberespacio
Ransomware: ("Secuestro" informático), El ransomware es un código malicioso para secuestrar datos, una forma de explotación en la cual el atacante cifra los datos de la víctima y exige un pago por la clave de descifrado. Suele ocurrir entre otros, por no mantener actualizado el sistema y por lo tanto dejarlo vulnerable, pues los parches que no se han aplicado corregirían los agujeros de seguridad descubiertos.
RAT: (Remote Acces Tool), Pieza de software que permite a un "operador" controlar a distancia un sistema como si se tuviera acceso físico al mismo. Suelen llevar un troyano.
Ataques a la red
Ataques tanto a la transmisión de los datos, como a la electrónica que facilita la comunicación: routers, switches, bridges, hardware que organice el tránsito de la información
Los puntos de entrada: el correo electrónico corporativo, visitas a paginas web maliciosas, conexion usb, acceso a la red de BYOD (Bring Your Own Device): si la persona pierde el dispositivo, se corre el riesgo de que quien lo encuentre pueda acceder a los datos, o borralos en la nube, si no lo tiene debidamente protegido. También puede traer consigo malware desde casa e infectar a toda la red. Otro inconveniente a destacar del BYOD, es que implica un mayor consumo de los recursos de red, por lo que resulta necesario incrementarlos para soportar la conexión de todos los dispositivos. Además, las aplicaciones más populares utilizan elementos multimedia, por lo que se consume más ancho de banda.
Entre los ataques más comunes a la red, tenemos:
Ataques de denegación de servicio (DoS) y denegación de servicio distribuida (DDoS). La diferencia entre las dos, es que en la segunda la amenaza proviene de un número muy elevado de maquinas, es el típico ataque con botnets o redes zombie de ordenadores, para paralizar un servicio web.
ARP poisoning. Se altera la pareja MAC-IP mediante mensajes falsos, el atacante consigue asignarse la IP que más le convenga, generalmente la de la puerta de enlace, de modo que todo el tráfico pase a través de su equipo, modifivarla, etc.
Ataques a DHCP, el objetivo es el Pool de direcciones IP disponibles para los dispositivos que se conectan a una red.
"DHCP Starvation", o agotamiento del pool de direcciones por saturacion de ip para supuestos dispositivos que estan conectados a la red con MAC falseada.Produciendo la denegacion de servicios y DHCP deja de funcionar.
"DHCP Spoofing", o falso servidor DHCP. Es otra máquina bajo control del atacante la que asigna y modifica los parametros de red. Se hace Starvation y luego Spoofing, para los dispositvos que estan pidiendo ips y no las encuentran. 'DHCPig', es una herramienta de red que inicia un ataque avanzado de agotamiento/inanicion DHCP , ademas liberara cualquier ip en uso, con ARP gratuito, esta por defecto en Kali, comando: pig.py 'interfaz'
Ataques a los dispositivos
Keyloggers software o hardware, que registra las pulsaciones del teclado, la guarda en un fichero y las envian por internet. Se suele descargar por un troyano o como parte de un virus. Si es hardware se coloca entre el usb del teclado y el ordenador, o se esconde dentro del teclado.
BadUSB pendrive con un microchip determinado, se les modifica el firmware para hacerlos pasar por un teclado y entonces actual como tal "tecleando" virtualmente unas instrucciones pregrabadas.
Ataques a los datos
Los datos tienen que ser protegido en todo su ciclo de vida: introducción, procesamiento, almacenamiento, recuperacion desde backup y eliminacion.
Se debe resguardar:
Confidencialidad, solo deben ser accesibles al personal que ha de trabajar en ellos.
Integridad, no deben ser alterados salvo por el personal autorizado
Disponibilidad han de estar accesibles para el personal autorizado que los solicita
"Inyecciones SQL (SQLi)". En este tipo de ataques los ciberdelincuentes intentan acceder a las bases de datos para obtener la información contenida en ellas o, en algunos casos, alterar o destruir los datos. En lugar de escribir el usuario lo dejan en blanco y en el password realizan una sentencia sql, el sistema pueden hacerle creer que los datos corresponden al primer usuario con acceso autorizado a la base de datos, que suele ser el administrador
Si estos formularios no se encuentran correctamente configurados y no validan bien las consultas

Defensas

Al igual que las aplicaciones se ejecutan por capas en las redes, la seguridad debe serguir la misma ruta.
Por esta razon no hay una unica medida que proteja todo el sistema de la organizacion.
No solo debe mantener al día los equipos, antivirus y monitorizar las redes, el especialista en ciberseguridad es además el encargado de realizar la auditoria de ciberseguridad, que marcará las pautas a seguir en el futuro para evitar un ataque, y conocer los puntos débiles de la empresa, organizacion o sistema.

El auditor debe:

  • Conocer los servicios y sistemas que se van a auditar
  • Verificar en que grado la empresa cumple con los estandares de calidad
  • Identificar todos los dispositivos y so de la empresa
  • Analizar los programas que estén en uso
  • Comprobar las vulnerabilidades
  • Plantear un plan de mejora con medidas específicas
  • Como consecuecia, implementar un plan de desarrollo y mejora.

    • Idealmente, deben hacerse auditorias cada seis meses. Estas se pueden orientar a aspectos generales o específicos y no tienen sentido como accion puntual, sino que debe ser una acción contínua, ya que las amenazas varian con el tiempo y hay que estar preparados para detectarlas y neutralizarlas.

    Recursos

    PCI   (Security Standards Council) Gestión de ciberincidentes Angeles (cursos) ¿qué es RPD y cómo usarlo

    Para solucionar, tenemos una buena parte de herramientas, entre las recomendados por el incibe, y mediante el catálogo de ciberseguridad

    Organismos

    INCIBE    (Instituto Nacional de Ciberdelicuencia) CSIRT    (Equipos de Ciberseguridad y Gestión de Incidentes españoles ) CCN-CERT    (Centro Criptológico Nacional-Computer Emergency Response Team)