Docsity
Docsity

Prepara tus exámenes
Prepara tus exámenes

Prepara tus exámenes y mejora tus resultados gracias a la gran cantidad de recursos disponibles en Docsity


Consigue puntos base para descargar
Consigue puntos base para descargar

Gana puntos ayudando a otros estudiantes o consíguelos activando un Plan Premium


Orientación Universidad
Orientación Universidad


ataques cibersegutidad, Guías, Proyectos, Investigaciones de Informática

definicion ataques ciberseguridad

Tipo: Guías, Proyectos, Investigaciones

2020/2021

Subido el 08/11/2021

marcelo-rioseco
marcelo-rioseco 🇨🇱

1 documento

1 / 6

Toggle sidebar

Esta página no es visible en la vista previa

¡No te pierdas las partes importantes!

bg1
Guía de Estudio de Fundamentos de Ciberseguridad, 2ª edición 33
ISACA. Todos los derechos reservados.
Sección 2: Conceptos de Ciberseguridad
temA 2—tiPos Y Vectores de AtAQUe comUnes
Los vectores y las metodologías de ataque no dejan de evolucionar, lo que representa una amenaza signif icativa para el cliente.
Aunque algunos ataques se hacen al azar sin ningún objetivo particular en mente, los ataques dirigidos se llevan a cabo contra
destinatarios que se han sido investigados e identificados como útiles por los atacantes. Los ataques de phishing a menudo se
dirigen a los destinatarios que tienen acceso a datos o sistemas a los que el atacante desea obtener acceso. En otros casos, el
malware se despliega en ataques generalizados con la esperanza de que llegará a tantos sistemas vulnerables como sea posible,
aunque estas situaciones no se consideran ciberataques. Un número importante de agentes de amenaza y patrones de ataque ha
aparecido en el actual panorama de amenazas. Es esencial para los profesionales de la ciberseguridad poder identificar estas
amenazas con el fin de gestionarlas adecuadamente.
Agentes de AmenAZA
La Agencia de Seguridad de las Redes y de la Información de la Unión Europea (ENISA) ha identificado los agentes de
amenaza que existen en el panorama actual, tal y como se muestra en figura 2.5.
Figura 2.5— Agentes de amenaza de ciberseguridad
Fuente: Marinos, Louis, A. Belmonte, E. Rekleitis, “ENISA Threat Landscape 2015,” ENISA, Enero 2016, Grecia
Los agentes de amenaza comunes incluyen los siguientes elementos:
Corporaciones—Se tiene constancia que las corporaciones han roto los perímetros de seguridad y realizado acciones
maliciosas contra otras organizaciones para obtener ventajas competitivas.
Cibercriminales—Motivados por el afán de lucro, estos individuos están involucrados en transacciones financieras
fraudulentas.
Ciber terroristas —Se caracterizan por su disposición a usar la violencia para lograr sus objetivos, con frecuencia se
dirigen a infraestructuras críticas y grupos gubernamentales.
Ciberguerreros—A menudo comparados con hacktivistas, los ciberguerreros, también conocidos como cibercombatientes,
son ciudadanos motivados a nivel nacional que pueden actuar en nombre de un partido político o en contra de otro partido
político que los amenaza.
Grupo/Categoria
Agente individual
Sector, capacidad, motivación
Ejemplos de roles simultáneos
Ciberagente
Investigador
Hacker ética Mercado
Agente de
seguridad
Cibersoldado
Agente de la ley
Empleado
Usuario final /
Cliente
Militar
Comercial
Comercial
Seguridad
nacional
Comunidad de
investigación
Cumplimiento
de la ley
Amigable
(involuntario)
Hostil
(intencional)
(Agentes de
amenaza)
Baja
capacidad
Joven, No
capacidado
Formación básica Hacker
Sociales
Script Kiddies
Baja tecnología
/ Habilidad
medio-baja
Alta
capacidad Alta tecnología
/ Habilidad alta Infraestructura
de distribución
Proveedor/
Desarrollador/
Operador
Persona enterada
(empleado)
Corriente
Ex
Interno
Externo (Contratista, Proveedor)
Misión
Nacional Estado
Espionaje
Hacktivistas
Cuidados con
motivación
social
Motivados
ideológica-
mente Ciberterrorista
Cibercriminal
Ciberguerreros
Orientado a
beneficios
Cuidados con
motivación
Nacional
Usuario de
herramienta /
Implementador
Misión de
corporaciónCorporación
Mercenario
Leyenda
Interno, Formación
medio-baja
Uso de
infraestructura
pf3
pf4
pf5

Vista previa parcial del texto

¡Descarga ataques cibersegutidad y más Guías, Proyectos, Investigaciones en PDF de Informática solo en Docsity!

Guía de Estudio de Fundamentos de Ciberseguridad, 2 ª^ edición 33

temA 2—tiPos Y Vectores de AtAQUe comUnes

Los vectores y las metodologías de ataque no dejan de evolucionar, lo que representa una amenaza significativa para el cliente. Aunque algunos ataques se hacen al azar sin ningún objetivo particular en mente, los ataques dirigidos se llevan a cabo contra destinatarios que se han sido investigados e identificados como útiles por los atacantes. Los ataques de phishing a menudo se dirigen a los destinatarios que tienen acceso a datos o sistemas a los que el atacante desea obtener acceso. En otros casos, el malware se despliega en ataques generalizados con la esperanza de que llegará a tantos sistemas vulnerables como sea posible, aunque estas situaciones no se consideran ciberataques. Un número importante de agentes de amenaza y patrones de ataque ha aparecido en el actual panorama de amenazas. Es esencial para los profesionales de la ciberseguridad poder identificar estas amenazas con el fin de gestionarlas adecuadamente.

Agentes de AmenAZA

La Agencia de Seguridad de las Redes y de la Información de la Unión Europea (ENISA) ha identificado los agentes de

amenaza que existen en el panorama actual, tal y como se muestra en figura 2..

Figura 2.5— Agentes de amenaza de ciberseguridad

Fuente: Marinos, Louis, A. Belmonte, E. Rekleitis, “ENISA Threat Landscape 2015,” ENISA, Enero 2016, Grecia

Los agentes de amenaza comunes incluyen los siguientes elementos:

  • Corporaciones —Se tiene constancia que las corporaciones han roto los perímetros de seguridad y realizado acciones maliciosas contra otras organizaciones para obtener ventajas competitivas.
  • Cibercriminales —Motivados por el afán de lucro, estos individuos están involucrados en transacciones financieras fraudulentas.
  • Ciber terroristas —Se caracterizan por su disposición a usar la violencia para lograr sus objetivos, con frecuencia se dirigen a infraestructuras críticas y grupos gubernamentales.
  • Ciberguerreros —A menudo comparados con hacktivistas, los ciberguerreros, también conocidos como cibercombatientes, son ciudadanos motivados a nivel nacional que pueden actuar en nombre de un partido político o en contra de otro partido político que los amenaza.

Grupo/Categoria Agente individual Sector, capacidad, motivación Ejemplos de roles simultáneos

Ciberagente

Investigador

Hacker ética (^) Mercado Agente deseguridad

Cibersoldado

Agente de la ley

Empleado Usuario final /Cliente

Militar

Comercial Comercial

Seguridadnacional

Comunidad deinvestigación

Cumplimientode la ley

Amigable (involuntario)

Hostil (intencional)(Agentes de amenaza) capacidad^ Baja

Joven, No capacidado

Formación básica (^) SocialesHacker

Script Kiddies

Baja tecnología/ Habilidad medio-baja

Alta capacidad Alta tecnología/ Habilidad alta^ Infraestructurade distribución Desarrollador/^ Proveedor/ Operador

Persona enterada (empleado) Corriente Ex Interno Externo (Contratista, Proveedor)

NacionalMisión Estado Espionaje

Hacktivistas

Cuidados conmotivación social Motivadosideológica- mente Ciberterrorista

Cibercriminal

Ciberguerreros

Orientado abeneficios Cuidados con motivaciónNacional

herramienta /Usuario de Implementador

corporaciónMisión de Corporación

Mercenario

Leyenda

Interno, Formación medio-baja

infraestructuraUso de

34 Guía de Estudio de Fundamentos de Ciberseguridad, 2 ª^ edición

  • Empleados —A pesar de que suelen tener métodos y herramientas de bajo nivel tecnológico, los empleados insatisfechos ya sean antiguos o actuales representan un riesgo de ciberseguridad evidente. Todos estos ataques son adversos, pero algunos no están relacionados con los ciberataques APT.
  • Hacktivistas —A pesar de que a menudo actúan de forma independiente, los hackers con motivaciones políticas pueden tener como objetivo personas u organizaciones específicas para lograr diversos fines ideológicos.
  • Estados nacionales —Los estados nacionales a menudo se focalizan en gobiernos y entidades privadas para obtener inteligencia o llevar a cabo otras actividades destructivas. Poseen un alto nivel de sofisticación.
  • Hackers Sociales —Con habilidades en ingeniería social, estos atacantes están frecuentemente implicados en el ciberacoso, robo de identidad y la recolección de otra información confidencial o de credenciales.
  • Script Kiddies —Los script kiddies son personas jóvenes que están aprendiendo a hackear; suelen trabajar solos o en grupo y están involucrados principalmente en inyecciones de código y los ataques distribuidos de denegación de servicio (DDoS).

AtriBUtos de AtAQUe

Mientras que el riesgo se mide por su daño potencial, un ataque es la ocurrencia real de una amenaza. Más específicamente,

un ataque es una actividad realizada por un agente de amenaza (o adversario) contra un activo. Desde el punto de vista de un

atacante, el activo es un objetivo , y el camino o ruta utilizada para acceder a la meta (activo) se conoce como un vector de

ataque. Hay dos tipos de vectores de ataque: de entrada (Ingress) y de salida (Egress) (también conocido como exfiltración

de datos). Mientras que la mayoría de los análisis de ataque se concentran en los de entrada, o intrusión, a los sistemas, algunos ataques están diseñados para eliminar los datos de los sistemas y redes (p ej, empleados que roban datos). Por tanto, es importante tener en cuenta ambos tipos de vectores de ataque.

El atacante debe enfrentarse a cualquiera de los controles implantados y/o utilizar un código para explotar debilidades

(exploit) para aprovechar una vulnerabilidad. Otro atributo de un ataque es el mecanismo de ataque , o el método utilizado

para entregar el exploit. A menos que el atacante esté llevando a cabo personalmente el ataque, el mecanismo de ataque puede implicar un exploit, que entrega el payload al objetivo. Un ejemplo puede ser un archivo pdf malicioso generado por un

atacante y entregado por correo electrónico. Los atributos de un ataque se muestran en la figura 2..

Figura 2.6—Atributos de ataque

El análisis detallado de los ciberataques requiere de una gran experiencia tanto técnica como de a materia tratada, y es una parte importante de la ciberseguridad. Cada uno de los atributos de ataque (vector de ataque, exploit, payload, vulnerabilidad, objetivo) proporciona puntos únicos donde poder ubicar los controles para prevenir o detectar el ataque. También es importante entender cada uno de estos atributos durante el análisis y la investigación de un ataque real. Por ejemplo, el exploit utilizado para entregar el payload, a menudo deja artefactos o evidencias que pueden ser utilizados por los analistas e investigadores técnicos para entender el ataque y posibilitar la identificación de los autores. El análisis de la ruta de exfiltración de datos puede identificar oportunidades adicionales para prevenir o detectar la eliminación de los datos u obtener evidencias, incluso si el ataque fue capaz de conseguir su objetivo.

Los ataques pueden ser analizados y clasificados en función de su tipo y de los patrones de uso. A partir de estas características, es posible hacer generalizaciones que faciliten un mejor diseño y mejores controles. Hay dos grandes

categorías de eventos de amenaza: adversos y no adversos. Un evento de amenaza adverso lo realiza un agente de amenaza

humano (o adversario), mientras que un evento de amenaza no adverso es normalmente el resultado de un error, un mal

funcionamiento o un percance de cualquier tipo.^19

Vector de ataque Exploit^ Payload Vulnerabilidad^

Objetivo (activo)

(^19) MITRE, Common Attack Pattern Enumeration and Classification (CAPEC), Febrero 2014, http://capec.mitre.org

36 Guía de Estudio de Fundamentos de Ciberseguridad, 2 ª^ edición

8. Coordinar una campaña: El adversario coordina una campaña contra la organización que puede implicar las siguientes

medidas: a. Ataques de múltiples etapas b. Ataques internos y externos c. Ataques generalizados y adaptables

eVentos de AmenAZA no AdeVersos Aunque la mayoría de los ataques son el resultado de un esfuerzo coordinado, hay otros eventos que pueden plantear varios tipos de riesgos para una organización y pueden ayudar a un adversario en un posible ciber-ataque. Algunos de los eventos de amenazas no adeversos más comunes son:

  • Manipulación inapropiada de la información crítica o sensible por parte de usuarios autorizados
  • Configuración incorrecta de privilegios
  • Incendio, inundación, huracán, tormentas o terremotos en las instalaciones primarias o en las de respaldo
  • Introducción de vulnerabilidades en productos de software
  • Errores genéricos de disco u otros problemas causados por la antigüedad de los equipos

mALWAre, rAnsomWAre Y tiPos de AtAQUe^20

El malware , también conocido como código malicioso, es el software diseñado para obtener acceso a los sistemas

informáticos objetivo, robar información o interrumpir las operaciones computacionales. Hay varios tipos de malware, siendo los más importantes los virus informáticos, gusanos y troyanos, los cuales se diferencian por la forma en que operan o se extienden.

Por ejemplo, el gusano informático conocido como Stuxnet destaca por el potencial de su malware para interrumpir los sistemas de control de supervisión y de adquisición de datos (SCADA) y los controladores lógicos programables (PLC), normalmente utilizados para automatizar los procesos mecánicos en las fábricas o plantas de energía. Descubierto en 2010, Stuxnet se utilizó para comprometer los sistemas y el software del programa nuclear Iraní. Tiene tres componentes:

1. Un gusano que lleva a cabo las rutinas relacionadas con el payload

2. Un fichero de enlace que propaga copias del gusano

3. Un rootkit que oculta los procesos maliciosos para evitar ser detectado

Otros tipos comunes de malware incluyen:

  • Virus —Un virus informático es un trozo de código que puede replicarse a sí mismo y propagarse de un ordenador a otro. Se requiere manipularlo o ejecutarlo para replicarse y/o causar daños.
  • Gusano de red —Una variante del virus informático, que es básicamente una pieza de código auto-replicante diseñado para propagarse a través de las redes. No se requiere intervención o ejecución para que se replique.
  • Troyanos —Una pieza de malware que obtiene acceso a un sistema objetivo al esconderse dentro de una aplicación real. Los troyanos suelen dividirse en categorías que reflejan sus propósitos. - Un troyano móvil común es Hummer, un tipo de malware de Android. En los 6 primeros meses del 2016, casi 1.4 millones de dispositivos fueron infectados diariamente por Hummer. El malware utiliza uno de los 18 métodos de rooting para ganar acceso privilegiado de administración al dispositivo. A continuación, muestra publicidad e instala juegos y aplicaciones pornográficas en el dispositivo móvil.^21
  • Red de computadoras infectadas con código malicioso (Botnet) —Derivado del término “robot network”, se trata de una red numerosa, automatizada y distribuida de ordenadores previamente comprometidos que pueden ser controlados simultáneamente para lanzar ataques a gran escala tales tales como una denegación de servicio (DoS).

Existe otra serie de términos que también se utilizan para describir los tipos más específicos de malware, caracterizados por sus propósitos. Estos incluyen:

  • Software espía (spyware) —Una clase de malware que recopila información sobre una persona u organización sin el conocimiento de dicha persona u organización.
  • Sistemas de publicidad (adware) —Diseñado para mostrar anuncios (generalmente no deseados) a los usuarios.

(^20) ISACA, Amenazas persistentes avanzadas: Cómo gestionar el riesgo para su negocio , EE.UU., 2013 (^21) Bisson, David; “Hummer Malware the No. 1 Mobile Trojan in the World,” Tripwire , 1 Julio 2016, www.tripwire.com/state-of-security/latest- security-news/hummer-malware-the-1-mobile-trojan-in-the-world

Guía de Estudio de Fundamentos de Ciberseguridad, 2 ª^ edición 37

  • Software maligno de petición de rescate (Ransomware) —También conocido como “código rehén” (del inglés “hostage code”), se trata de un tipo de malware de extorsión que bloquea o cifra los datos o funciones y exige un pago para desbloquearlos. Hay varios tipos disponibles para cada sistema operativo. Ataques recientes de Ramsonware incluyen: - GhostCrypt —Mediante el uso del cifrado AES, GhostCrypt cifra los datos del dispositivo infectado para obtener Bitcoins de la víctima. Cuando el Ramsonware cifra una pieza de información, incluye el apéndice .Z81928819. GhostCrypt también genera un archivo “leeme.txt” (READ_THIS_FILE.txt) como recordatorio del rescate que debe pagarse. 22 - SNSLocker —Utilizando cifrado AES y añadiendo una cadena RSNlocked al final de los datos afectados, este Ransomware cifra datos y pide un rescate de 300 $ ( pagables en Bitcoin) para proporcionar una solución de descifrado.^23
  • Software de registro de tecleado (Keylogger) —Una clase de malware que registra de forma silenciosa las pulsaciones de teclado de los usuarios y, en algunos casos, el contenido de la pantalla.
  • Rootkit —Una clase de malware que oculta la existencia de otro tipo de malware mediante la modificación del sistema operativo subyacente.

otros tiPos de AtAQUe

Además del malware y del ransomware, hay muchos otros tipos de ataques. Algunos de los patrones de ataque más comunes son los siguientes:

  • Amenazas persistentes avanzadas (APT) —Ataques complejos y coordinados dirigidos contra una entidad u organización específica. Requieren una cantidad sustancial de investigación y tiempo, a menudo les lleva meses o incluso años para su plena ejecución. APT es un término que refleja el nivel de complejidad; sin embargo, no puede probarse si un ataque particular fue una APT o no. Tras haber descubierto un ataque, determinado su nivel de complejidad e investigado la cantidad de tiempo y recursos dedicados al ataque, se puede determinar si el ataque fue una APT o no.
  • Puerta trasera —Medio a través del cual se recupera el acceso a un sistema comprometido mediante la instalación de software o la configuración de software existente que permita el acceso remoto en las condiciones definidas por el atacante.
  • Ataque de fuerza bruta —Ataque mediante el cual se intentan todas las combinaciones posibles de contraseñas o claves de cifrado hasta dar con la correcta.
  • Desbordamiento de búfer —Ocurre cuando un programa o proceso intenta almacenar en una memoria intermedia (área de almacenamiento temporal de datos) más datos de los que se tenía la intención de contener. Puesto que los buffers son creados para contener una cantidad limitada de datos, la información adicional que tiene que ir a alguna parte—puede desbordar hacia buffers adyacentes, corrompiendo o sobrescribiendo los datos válidos contenidos. Aunque puede ocurrir accidentalmente por error de programación, el desbordamiento de búfer es un tipo cada vez más común de ataque a la seguridad en la integridad de los datos. En los ataques de desbordamiento de buffer, los datos adicionales pueden contener códigos de tipo de ataque a la seguridad en la integridad de los datos.
  • Cross-site scripting (XSS) —Tipo de inyección en el cual scripts (secuencias de comandos) maliciosos se inyectan en los sitios web benignos y de confianza. Los ataques de Cross-site scripting (XSS) ocurren cuando un atacante utiliza una aplicación web para enviar código malicioso, generalmente en forma de un script del lado del navegador, a un usuario final diferente. Los defectos que permiten que estos ataques tengan éxito son bastante generalizados y se producen en cualquier lugar de una aplicación web que utiliza la entrada de un usuario dentro de la salida generada sin validar o codificarlo.
  • Ataque de denegación de servicio (DoS) —Asalto a un servicio desde un único origen que lo desborda con un número tan alto de solicitudes que supera sus capacidades, con el resultado de una parada total del servicio o una operación a una velocidad significativamente reducida.
  • Ataque de “hombre en el medio” —Estrategia de ataque en la que el atacante intercepta el flujo de comunicación entre dos partes del sistema víctima y luego reemplaza el tráfico entre los dos componentes con el propio, asumiendo con el tiempo el control de la comunicación.
  • Ingeniería social —Cualquier intento de explotar las vulnerabilidades sociales para obtener acceso a la información y/o sistemas. Se trata de una “estafa” que engaña a otros para divulgar información o abrir software o programas maliciosos.
  • Phishing —Un tipo de ataque vía correo electrónico (e-mail) que intenta convencer a un usuario de que el emisor es genuino, pero con la intención de obtener información para su uso en ingeniería social.
  • Spear phishing / Phishing de Ingeniería Social —Ataque de phishing, donde se utilizan técnicas de ingeniería social para hacerse pasar por un ente fiable para obtener información importante, como contraseñas de la víctima.
  • Spoofing —Falsificación de la dirección de envío de una transmisión con el fin de ganar acceso ilegalmente a un sistema seguro.

(^22) Tripwire, “May 2016: The Month in Ransomware,” Tripwire , 6 Junio 2016, www.tripwire.com/state-of-security/security-data-protection/may- 2016-the-month-in-ransomware (^23) Ibid. 24 OWASP, SQL Injection, www.owasp.org/index.php/SQL_Injection