Introducción a la Criptografía (Primera Parte)

 

El término criptografía proviene del griego y significa código secreto; ésta consiste en ocultar y mantener en secreto la información cifrándola. Llamamos encriptación a esta codificación.

La encriptación garantiza que el texto normal (sin formato), cuando lo envías, sea ilegible para el destinatario (ya sea intencionado o no). Llamamos texto cifrado a la versión encriptada del texto sin formato.Sólo la persona a quien va dirigido el texto sabe cómo hacer que éste sea legible otra vez. A esto último, es decir, a hacerlo legible nuevamente, se le llama descifrado. En lugar de utilizar los términos cifrado y descifrado, también utilizamos la antonimia codificación y decodificación.

El cifrado, en su forma más simple, puede ser un acuerdo de antemano sobre las palabras codificadas. El código puede ser una palabra simple o un algoritmo; también se le llama clave.

Existen dos tipos de criptografía:

Criptografía simétrica: El remitente y el destinatario acuerdan qué clave secreta se utiliza para el cifrado y el descifrado. Debido a que el emisor y el receptor deben compartir la misma clave, es posible que ésta sea interceptada por los hackers durante la comunicación.

Criptografía asimétrica: Utiliza claves públicas y secretas. Los cifrados con la clave pública sólo se pueden descifrar con la contraseña secreta. Aquí es donde el emisor y el receptor se comparten sus claves públicas, pero no las secretas. Por ejemplo, el remitente encripta un texto con la clave pública del destinatario. El texto cifrado ahora sólo se puede descifrar con la clave secreta del destinatario. Es importante considerar que las claves secretas nunca se comparten.

Read More

¡Bloquear Publicada, Malware y Páginas para adulto en tu Red desde la capa DNS!

 

Seguramente en navegación día a día a través de tu red, sufres con los problemas más comunes que rodean al internet en todo momento, tus dispositivos se contagian de Virus Informáticos provenientes de páginas de navegación no segura o de alguna publicidad dañina, así mismo, puedo asegurar que la publicidad al navegar te persigue sin cansancio en todo momento en la mayoría de las páginas que visitas. Si no cuentas con un software antivirus que te proteja de todos estos problemas del internet de ahora, puedes optar por usar DNS públicos seguros de proveedores como: Cloudflare, Norton o AdGuard.

Estos servidores DNS tiene la particularidad de bloquear todo este tipo de apenas y permitirte una navegación más segura para ti y los usuarios de tu red.

¿Cómo funciona?

• Imaginemos que has conectado tus dispositivos a alguno de estos DNS públicos. Ahora tu servicio DNS está en funcionamiento.
• Cada vez que escribas el nombre de un sitio web, tu dispositivo pedirá a ese DNS la dirección IP correspondiente.
• Si la dirección del dominio pertenece a un sitio web publicitario, de seguimiento, malicioso o de phishing, el DNS bloqueará su acceso, protegiéndole así de ataques maliciosos o de violaciones de la privacidad.
• ¡Y ya está listo! Estos DNS te ayudarán a controlar tu experiencia en línea y ver lo que deseas ver sin exponerte a anuncios, seguimientos o amenazas maliciosas.

¿Cuáles son estos servidores DNS?

CloudFlare

Solo bloqueo de malware:

• 1.1.1.2
• 1.0.0.2

Bloqueo conjunto de malware y contenido para adultos:

• 1.1.1.3
• 1.0.0.3

AdGuard

Anuncios y rastreadores:

• 94.140.14.14
• 94.140.15.15

Anuncios, rastreadores y contenido para adultos :

• 94.140.14.15
• 94.140.15.16

NORTON

• Seguridad (virus, sitios de phishing y sitios fraudulentos): 199.85.126.10
• Seguridad + Pornografía: 199.85.126.20
• Seguridad + Pornografía + Otros: 199.85.126.30

Puedes utilizar los DNS asignándolos manualmente en cada uno de tus dispositivos que quieras mantener protegidos o asignarlos en tu Módem para que los asigne automáticamente a todos los usuarios que se conecten a la red.

Por recomendación, agrega como DNS primario uno de estos DNS seguros y como DNS secundario un servidor público de respaldo, puede ser Google (8.8.8.8,8.8.4.4), esto para crear redundancia en la resolución de dominios por si el DNS principal llegara a fallar.

Read More

Traducción de direcciones de red (NAT)

 

A cada computadora de una red privada se le asigna una dirección dinámica mediante DHCP; todos los equipos dentro de la red se comunican entre sí por medio de estas direcciones. Pero para comunicarse con Internet se necesita una IP pública. NAT es el proceso por el que una, cien o mil computadoras de una red privada usan una dirección IP pública única (la dirección del enrutador) para tener acceso a Internet.

En la siguiente figura, vemos que en el momento en que la laptop en la red 2 se conectó al enrutador, el DHCP de éste creó la dirección IP dinámica 172.16.0.3 para la computadora.

Cuando la laptop 172.16.0.3 en la red 2 envía una solicitud a la red 1, se lleva a cabo una traducción de direcciones de red (NAT), de modo que la solicitud se ejecuta a través del enrutador 172.16.0.0. Cuando la respuesta de la red 1 vuelve al enrutador, el protocolo NAT sabe que la respuesta es para la laptop 172.16.0.3. El papel del protocolo NAT es enviar la respuesta al solicitante correcto.

Read More

Envenenamiento de la red: poisoning

 

La técnica de poisoning o envenenamiento consiste en redireccionar el tráfico de usuarios lícitos a sitios usualmente controlados por un atacante. Esta técnica suele implementarse a partir de la manipulación de los protocolos ARP y DNS.

El ARP poisoning, también conocido como ARP spoofing, consiste en generar peticiones y respuestas ARP modificadas con el objetivo de asociar la dirección MAC del atacante con la dirección IP del gateway. De este modo, todo el tráfico de ese segmento pasará primero por el atacante, que podrá analizarlo y redirigirlo luego hacia el destino final. Un modo de protegerse frente al ARP spoofing es utilizando tablas ARP estáticas.

Si bien esto previene la implementación de esta técnica, puede tornar dificultosa y compleja la administración de entornos grandes. Un método alternativo se basa en usar aplicaciones para detección de cambios de las tablas ARP (arpwatch, por ejemplo) e implementar el uso de la seguridad de puerto que poseen algunos switches para evitar cambios en las direcciones MAC.

IMG1. Manual de la herramienta arpwatch, utilizada para detectar cambios en la asociación entre direcciones MAC e IP.

Adicionalmente, y tal como se mira una técnica de análisis de tráfico, la segmentación de las redes reduce la visibilidad del segmento que un atacante tiene al lanzar este ataque, con lo cual también es una buena medida complementaria.

IMG2. Ataque de ARP Spoofing a un Host.

IMG3. Identificación del ARP Spoofing a través de Wireshark.

Por otro lado, tal como hemos mencionamos, otro de los protocolos que, por sus particularidades, suele ser blanco de ataques de estas características es el DNS. La técnica de DNS cache poisoning consiste en hacer de manera maliciosa que un servidor DNS reciba datos de una fuente no autoritativa, de manera tal de contaminar su tabla caché.

Así, si un atacante puede controlar dicha tabla, podrá modificar la relación entre la dirección IP y la URL asociada, haciendo que cuando un cliente lícito quiera acceder a un sitio web, en realidad acceda a otro controlado por el atacante. Por ejemplo, supongamos que el sitio web al que deseamos acceder es www.facebook.com, y la dirección IP asociada es la 98.129.229.166. Mediante la modificación de su caché, podríamos hacer que, cuando un usuario acceda a www.facebook.com, en vez de dirigirse a la IP 98.129.229.166, termine accediendo a otra IP controlada por el atacante.

En esta nueva dirección IP, el atacante podría tener levantado un servidor web malicioso de similares características, que disfrace a través de herramientas de Ingeniería Social.

Este ataque puede deberse a fallas en la implementación de los sistemas, vulnerabilidades en la aplicación DNS, falta de configuración del servidor y escenarios perniciosamente diseñados que explotan la arquitectura de un DNS. Una vez que un servidor DNS ha recibido datos maliciosos y los almacena temporalmente para futuros incrementos de desempeño, es considerado envenenado, y extiende el efecto a los clientes del servidor.

El lector atento notará que, en este caso, el usuario poco puede hacer para protegerse de este ataque, ya que la vulnerabilidad siempre está en el servidor DNS.

Técnicas de Mitigación contra DNS Spoofing.

• Supervisar y filtrar el tráfico DNS de forma exhaustiva.

• Proteger los DNS agregando DNSSEC.

• Parchar regularmente los servidores DNS.

• Demostrar si el servidor de nombres autorizado coincide con lo que se responde localmente.

• Usar VPN (una red privada virtual), especialmente si se van a enviar datos confidenciales.

• Buscar señales de seguridad y autenticidad en los sitios web antes de escribir cualquier dato.

• Evita abrir enlaces extraños.

• Cifrado de extremo a extremo: este método cifra la solicitud de datos de DNS y mantiene alejados a los atacantes, ya que no es posible que dupliquen la licencia de seguridad única del sitio web.

• Actualizaciones de DNS: para ayudar a protegerse contra los atacantes de DNS, las versiones actualizadas de DNS incluyen aleatorización de puertos e ID de transacciones criptográficamente seguras. Asegúrese de que el servidor que se utiliza esté siempre actualizado.

Técnicas de Mitigación contra ARP Spoofing.

• Confíe en las VPN (Redes Privadas Virtuales): Una forma de evitar que ocurra la suplantación de ARP en primer lugar es confiar en las redes privadas virtuales (VPN). Cuando se conecta a Internet, normalmente primero se conecta a un proveedor de servicios de Internet (ISP) para conectarse a otro sitio web. Sin embargo, cuando usa una VPN, está usando un túnel encriptado que bloquea en gran medida su actividad de los piratas informáticos que suplantan ARP. Tanto el método por el que realiza la actividad en línea como los datos que pasan por ella están encriptados.

• Usar un ARP estático: La creación de una entrada ARP estática en su servidor puede ayudar a reducir el riesgo de suplantación de identidad. Si tiene dos hosts que se comunican regularmente entre sí, la configuración de una entrada ARP estática crea una entrada permanente en su caché ARP que puede ayudar a agregar una capa de protección contra la suplantación de identidad.

• Obtenga una herramienta de detección: Incluso con el conocimiento y las técnicas de ARP implementados, no siempre es posible detectar un ataque de suplantación de identidad. Los piratas informáticos se vuelven cada vez más sigilosos para pasar desapercibidos y utilizan nuevas tecnologías y herramientas para adelantarse a sus víctimas. En lugar de centrarse estrictamente en la prevención, asegúrese de contar con un método de detección. El uso de una herramienta de detección de terceros puede ayudarlo a ver cuándo se está produciendo un ataque de suplantación de identidad para que pueda detenerlo en el momento.

• Evite las relaciones de confianza: Algunos sistemas se basan en relaciones de confianza de IP que se conectarán automáticamente a otros dispositivos para transmitir y compartir información. Sin embargo, debe evitar por completo confiar en las relaciones de confianza de IP en su empresa. Cuando sus dispositivos usan direcciones IP solo para verificar otra máquina o la identidad de un usuario, es fácil que un hacker se infiltre y falsifique su ARP. Otra solución es confiar en inicios de sesión y contraseñas privadas para identificar a los usuarios. Sea cual sea el sistema que elija para validar a sus usuarios, necesita políticas de protección establecidas en su organización. Esta sencilla técnica puede crear una capa adicional de protección y realizar un seguimiento de quién intenta acceder a sus sistemas.

• Configurar filtrado de paquetes: Algunos atacantes ARP enviarán paquetes ARP a través de la LAN que contienen la dirección MAC del atacante y la dirección IP de la víctima. Una vez que se han enviado los paquetes, un atacante puede comenzar a recibir datos o esperar y permanecer relativamente desapercibido mientras se prepara para lanzar un ataque de seguimiento. Y cuando un paquete malicioso se ha infiltrado en su sistema, puede ser difícil detener un ataque de seguimiento y asegurarse de que su sistema esté limpio. El filtrado y la inspección de paquetes pueden ayudar a detectar paquetes envenenados antes de que lleguen a su destino. Puede filtrar y bloquear paquetes maliciosos que muestren cualquier fuente de información conflictiva.

• Configuración de monitoreo de malware: Las herramientas antivirus y de malware que ya utilizan pueden ofrecer algún recurso contra la suplantación de identidad ARP. Mire su configuración de monitoreo de malware y busque categorías y selecciones que monitoreen el tráfico ARP sospechoso desde los puntos finales. También debe habilitar cualquier opción de prevención de suplantación de ARP y detener cualquier proceso de punto final que envíe tráfico ARP sospechoso.

Read More

¡Bloquea la Publicidad y Malware a través de DNS con PIHOLE!

Los Adware y Sitios maliciosos que pueden contener Malware abundan en el internet que conocemos el día de hoy, la publicidad está en todos lados que resulta realmente muy molesta al navegador por internet y aunque existen otros métodos para el bloqueo de la publicidad como por ejemplo, agregando extensiones AntiAdware al navegador, estás soluciones suelen resultar parciales y se limita a un sólo usuario, mientras que el resto de los usuarios de la red pueden seguir visualizando y dando clics en anuncios maliciosos, adquiriendo con ello Virus Informáticos.

Para bloquear de una forma gratuita y open source, los anuncios y sitios maliciosos para todos los usuarios en nuestra red, se puede hacer uso de la herramienta Pi-Hole.

Pi-Hole es un sumidero de DNS que protege sus dispositivos de contenido no deseado, sin instalar ningún software del lado del cliente.

Además de bloquear anuncios, Pi-hole tiene una interfaz web informativa que muestra estadísticas sobre todos los dominios que se consultan en su red. Servidor DHCP integrado Pi-hole funciona bien con un servidor DHCP existente, pero puede usar Pi-hole para mantener la administración de su red en un solo lugar, además de administrar listas blancas y negras de sitio web's.

Características de Pi-Hole:

• Fácil de instalar : El instalador versátil lo guía a través del proceso y toma menos de diez minutos.

• Resuelto : el contenido está bloqueado en ubicaciones que no son del navegador , como aplicaciones móviles cargadas de anuncios y televisores inteligentes.

• Responsivo : acelera sin problemas la sensación de la navegación diaria al almacenar en caché las consultas de DNS.

• Ligero : funciona sin problemas con requisitos mínimos de hardware y software.

• Robusta : una interfaz de línea de comandos con garantía de calidad para la interoperabilidad.

• Perspicaz : un hermoso panel de interfaz web receptivo para ver y controlar su Pi-hole.

• Versátil : opcionalmente puede funcionar como un servidor DHCP , asegurando que todos sus dispositivos estén protegidos automáticamente.

• Escalable : capaz de manejar cientos de millones de consultas cuando se instala en hardware de servidor.

• Moderno : bloquea los anuncios tanto en IPv4 como en IPv6.

• Gratis : software de código abierto que ayuda a garantizar que usted es la única persona que controla su privacidad.

Pi-Hole puede ser instalado en una Raspberry Pi sin problema o en cualquier sistema linux con distribuciones que utilicen systemd o sysvinit.

Requisitos previos

Hardware

Pi-hole es muy liviano y no requiere mucha potencia de procesamiento.

• Mínimo 2 GB de espacio libre, se recomiendan 4 GB
• 512 MB de memoria RAM

Sistemas operativos compatibles

Los siguientes sistemas operativos son compatibles oficialmente:

Puede realizar los pasos de la documentación oficial de Pi-Hole para su correcta instalación en: https://docs.pi-hole.net/main/basic-install/

El funcionamiento de Pi-Hole una vez instalado es muy sencillo, al instalarlo hay que considerar asignarle un dirección IP de nuestro segmento de red estática y una vez esté instalado y corriendo en la dirección IP local que le asignamos, tenemos que agregar la dirección de Pi-Hole como servidor DNS primario en nuestro router o en nuestros dispositivos, de tal manera, que todas las solicitudes DNS que se hagan desde nuestra red local pasen por los filtros y cache de Pi-Hole, asiendo la navegación más rápida y segura.

Para obtener más información sobre el funcionamiento de Pi-Hole, los invito a visitar su Web Site Oficial: https://pi-hole.net/

Read More

Métodos de infiltración

 

Ingeniería social

La ingeniería social es la manipulación a las personas para que realicen acciones o divulguen información confidencial. Los ingenieros sociales con frecuencia dependen de la disposición de las personas para ayudar, pero también se aprovechan de sus vulnerabilidades. Por ejemplo, un atacante llamará a un empleado autorizado con un problema urgente que requiere acceso inmediato a la red y apelará a la vanidad o la codicia del empleado o invocará la autoridad mediante el uso de técnicas de eliminación de nombres para obtener este acceso.

Denegación de servicio

Los ataques de denegación de servicio (DoS) son un tipo de ataque de red que es relativamente sencillo de llevar a cabo, incluso por parte de un atacante no cualificado. Un ataque DoS da como resultado cierto tipo de interrupción del servicio de red a los usuarios, los dispositivos o las aplicaciones.

Los ataques de DoS se consideran un riesgo importante porque pueden interrumpir fácilmente la comunicación y causar una pérdida significativa de tiempo y dinero.

DoS distribuido

Un ataque DoS distribuido (DDoS) es similar a un ataque DoS pero proviene de múltiples fuentes coordinadas. Por ejemplo:

• Un atacante crea una red (botnet) de hosts infectados llamados zombies, que son controlados por sistemas de manejo.
• Las computadoras zombis constantemente analizan e infectan más hosts, creando más y más zombis.
• Cuando está listo, el hacker proporciona instrucciones a los sistemas manipuladores para que los botnet de zombies lleven a cabo un ataque de DDoS.

Botnet

Una computadora bot se infecta generalmente por visitar un sitio web, abrir un elemento adjunto de correo electrónico o abrir un archivo de medios infectado. Una botnet es un grupo de bots, conectados a través de Internet, que pueden ser controlados por un individuo o grupo malintencionado. Puede tener decenas de miles, o incluso cientos de miles, de bots que normalmente se controlan a través de un servidor de comando y control.

Estos bots se pueden activar para distribuir malware, lanzar ataques DDoS, distribuir correo electrónico no deseado o ejecutar ataques de contraseña por fuerza bruta. Los ciberdelincuentes suelen alquilar botnets a terceros con fines nefastos.

Muchas organizaciones, como Cisco, fuerzan las actividades de red a través de filtros de tráfico de botnet para identificar cualquier ubicación de botnet.

Ataques en el camino

Los atacantes en ruta interceptan o modifican las comunicaciones entre dos dispositivos, como un navegador web y un servidor web, ya sea para recopilar información de uno de los dispositivos o para hacerse pasar por uno de ellos.

Este tipo de ataque también se conoce como ataque de hombre en el medio o de hombre en el móvil.

• Hombre en el medio (MITM): Un ataque MiTM ocurre cuando un ciberdelincuente toma el control de un dispositivo sin que el usuario lo sepa. Con ese nivel de acceso, el atacante puede interceptar y capturar información sobre el usuario antes de retransmitirla a su destino. Estos tipos de ataques se utilizan a menudo para robar información financiera. Hay muchos tipos de malware que poseen capacidades de ataque MiTM.
• Hombre en el móvil (MITMO): Una variación del hombre en el medio, el MitMo es un tipo de ataque utilizado para tomar el control de un dispositivo móvil. Cuando está infectado, el dispositivo móvil recibe instrucciones de filtrar información confidencial del usuario y enviarla a los atacantes. ZeUS es un ejemplo de paquete de malware con capacidades MitMO. Permite a los atacantes capturar silenciosamente los mensajes SMS de verificación en dos pasos que se envían a los usuarios.

Envenenamiento SEO

Probablemente hayas oído hablar de la optimización de motores de búsqueda o SEO que, en términos simples, se trata de mejorar el sitio web de una organización para que gane una mayor visibilidad en los resultados de los motores de búsqueda.

Ataques de contraseña

La introducción de un nombre de usuario y una contraseña es una de las formas más populares de autenticarse en un sitio web. Por lo tanto, descubrir su contraseña es una forma fácil para que los ciberdelincuentes accedan a su información más valiosa.

• Pulverización de contraseña: Esta técnica intenta obtener acceso a un sistema «rociando» algunas contraseñas de uso común en un gran número de cuentas. Por ejemplo, un ciberdelincuente utiliza «Password123» con muchos nombres de usuario antes de volver a intentarlo con una segunda contraseña de uso común, como «qwerty». Esta técnica permite que el perpetrador permanezca sin ser detectado, ya que evita los bloqueos frecuentes de la cuenta.
• Ataques de diccionario: Un hacker intenta sistemáticamente todas las palabras de un diccionario o una lista de palabras de uso común como contraseña en un intento de ingresar a una cuenta protegida con contraseña.
• Ataques por fuerza bruta: Son la forma más simple y más utilizada de obtener acceso a un sitio protegido con contraseña. Los ataques de fuerza bruta ven a un atacante utilizando todas las combinaciones posibles de letras, números y símbolos en el espacio de contraseñas hasta que lo hacen bien.
• Ataques arco iris: Las contraseñas de un sistema informático no se almacenan como texto sin formato, sino como valores con hash (valores numéricos que identifican datos de forma única). Una tabla arcoíris es un gran diccionario de valores hash precalculados y las contraseñas a partir de las cuales se calcularon. A diferencia de un ataque de fuerza bruta que tiene que calcular cada hash, un ataque de arco iris compara el hash de una contraseña con los almacenados en la tabla rainbow. Cuando un atacante encuentra una coincidencia, identifica la contraseña utilizada para crear el hash.
• Interceptación de tráfico: El texto sin formato o las contraseñas sin cifrar pueden ser leídas fácilmente por otras personas y máquinas al interceptar las comunicaciones. Si almacena una contraseña en texto claro y legible, cualquier persona que tenga acceso a su cuenta o dispositivo, ya sea autorizado o no, podrá leerlo.

Read More

Obtén información valiosa sobre el estado de tu procesador con CPU-Z

¿Qué es CPU-Z?

CPU-Z es un freeware que recopila información sobre algunos de los principales dispositivos del sistema: 

Nombre y número del procesador, nombre en clave, proceso, paquete, niveles de caché. Placa base y chipset. Tipo de memoria, tamaño, tiempos y especificaciones del módulo (SPD). Medición en tiempo real de la frecuencia interna de cada núcleo, frecuencia de memoria.

CPU-Z es una aplicación gratuita que ha existido durante más de 20 años. Las CPU modernas contienen un conjunto de instrucciones que, cuando se activan, proporcionan una gran cantidad de información sobre el procesador. Además de los CPU de la computadora, también muestra información similar sobre la placa base y la memoria del sistema, que incluye:

• Nombre y número del procesador, nombre en clave, proceso, paquete, niveles de caché.
• Mainboard and chipset.
• Tipo de memoria, tamaño, tiempos y especificaciones del módulo (SPD).
• Medición en tiempo real de la frecuencia interna de cada núcleo, frecuencia de memoria.

CPU-Z también contiene un punto de referencia de CPU simple y una prueba de esfuerzo; puede cargar sus resultados en su sitio web y compartir sus estadísticas.

Sitio Web Oficial para su descarga: https://www.cpuid.com/softwares/cpu-z.html

Read More

DHCP SPOOFING

 

Esta tecnología permite a los switches analizar los mensajes DHCP, y aprender las asociaciones entre direcciones IP y MAC. La idea principal es que el switch permita tráfico DCHP solamente con servidores DHCP autorizados.

Este tipo de tecnología marca la nueva tendencia de los switches inteligentes, según la cual el dispositivo no solamente se limita a retransmitir paquetes, sino que también se encarga de analizar el tráfico y bloquear los ataques más comunes.

El DHCP Snooping también bloquea los ataques del tipo DHCP Starvation, en los cuales un atacante envía muchísimas peticiones DHCP con el objetivo de agotar todas las direcciones IP disponibles en el servidor.

Read More

PHISHING

 

El término phishing, en informática, denota un uso de la ingeniería social para intentar adquirir información confidencial, por ejemplo, contraseñas, cuentas bancarias, datos de tarjetas, etcétera, de manera fraudulenta. El accionar del phisher (los estafadores que utilizan esta técnica ) es simple, ya que se hace pasar por una persona o entidad de confianza (por correo electrónico, SMS, mensajería instantánea o páginas web) imitando el formato, el lenguaje y la imagen de entidades bancarias o también corporaciones financieras.

En todos los casos, la comunicación simula ser oficial y suele pedir algún tipo de dato de acceso o información relevante alegando motivos diversos, como verificación de movimientos, cambio de políticas y posible fraude, entre otras acciones.

En un lenguaje más coloquial, el término deriva de la palabra inglesa fishing (pesca), haciendo referencia en este caso al hecho de pescar contraseñas e información de usuarios. La primera mención del término data de enero de 1996 en un grupo de noticias de hackers, aunque apareció tempranamente en la edición impresa del boletín de noticias 2600 Magazine y, luego, fue adoptado por crackers que intentaban obtener cuentas de miembros de grandes proveedores de Internet.

El phisher envía mensajes que suelen contener un link a páginas web aparentemente reales de las entidades citadas, pero que, en realidad, conduce a sitios falsos que emulan la página original con el objetivo de pescar los datos ingresados por los usuarios. 

Dado que los clientes pueden ver la página y tienen confianza en la entidad, ingresan sus datos con normalidad. 

A partir de ese momento, el phisher dispone de información confidencial con la que puede realizar compras por Internet utilizando las tarjetas de crédito, efectuar transferencias bancarias no autorizadas, retirar dinero en efectivo de cajeros automáticos, etcétera.

Read More

Wifi Analyzer!

 

A medida que la cantidad de redes Wi-Fi explota rápidamente, detectar, administrar y mantener su Wi-Fi puede volverse problemático. Cuando todos los que lo rodean están lanzando sus propias señales de Wi-Fi, particularmente en grandes complejos comerciales con muchas otras grandes empresas, es más probable que experimente problemas con el abandono de señales de Wi-Fi, una conectividad deficiente y un rendimiento lento.

Dentro de su propia red Wi-Fi, varias optimizaciones podrían ayudar a garantizar que su red funcione correctamente, incluida la colocación del enrutador, el canal apropiado y las medidas de seguridad. Y, por supuesto, analizar y comprender su red inalámbrica es clave.

Una de las herramientas que les permitirá analizar y administrar sus redes WiFí, es Wifi Analyzer.

¿Qué es Wifi Analyzer?

Es una aplicación que se puede encontrar Play Store, Google Store y Microsoft Store. Se ejecuta tanto en Sistema Operativo Android, como Windows 10 y 11.

Wifi Analyzer proporcionará información útil sobre las señales inalámbricas a su alrededor. El escáner Wi-Fi admite redes wifi de 2,4 GHz y 5 GHz.

WiFi Analyzer está destinado principalmente para uso doméstico. Viene en versiones básicas y profesionales, y la versión básica incluye todo lo que necesita para analizar su red Wi-Fi. La aplicación toma su red y convierte los datos en visualizaciones fáciles de entender, lo que sugiere qué canal debe usar para reducir la congestión. Para alguien nuevo en las herramientas del analizador de Wi-Fi, esta sería una opción potencial. Para necesidades empresariales o redes más grandes, probablemente sea demasiado limitado.

Algunas de las características de WiFi Analyzer son:

• Ayuda a encontrar una ubicación óptima para los receptores wifi.
• Wifi Analyzer le proporciona información individualmente sobre los canales wifi.
• Muestra la intensidad de la señal en el gráfico de historial.
• Wifi Analyzer recomienda el mejor canal para un nuevo punto de acceso.
• Información del ancho de canal (20/40/80MHz).
• Mapa de calor Wifi: le permite crear un mapa de calor de la calidad de la señal wifi a su alrededor.

Read More

TIPOS DE MALWARE

 

Malware, acrónimo para el inglés “Malicious Software” (Software malicioso), es cualquier código que pueda utilizarse para robar datos, evitar los controles de acceso, ocasionar daños o comprometer un sistema. A continuación, se encuentran algunos tipos comunes de malware:

• Spyware: este malware está diseñado para rastrear y espiar al usuario. El spyware a menudo incluye rastreadores de actividades, recopilación de pulsaciones de teclas y captura de datos. En el intento por superar las medidas de seguridad, el spyware a menudo modifica las configuraciones de seguridad. El spyware con frecuencia se agrupa con el software legítimo o con caballos troyanos.
• Adware: el software de publicidad está diseñado para brindar anuncios automáticamente. El adware a veces se instala con algunas versiones de software. Algunos adware están diseñados para brindar solamente anuncios, pero también es común que el adware incluya spyware.
• Bot: de la palabra robot, un bot es un malware diseñado para realizar acciones automáticamente, generalmente en línea. Si bien la mayoría de los bots son inofensivos, un uso cada vez más frecuente de bots maliciosos es el de los botnets. Varias computadoras pueden infectarse con bots programados para esperar silenciosamente los comandos provistos por el atacante.
• Ransomware: este malware está diseñado para mantener captivo un sistema de computación o los datos que contiene hasta que se realice un pago. El ransomware trabaja generalmente encriptando los datos de la computadora con una clave desconocida para el usuario. Algunas otras versiones de ransomware pueden aprovechar vulnerabilidades específicas del sistema para bloquearlo. El ransomware se esparce por un archivo descargado o alguna vulnerabilidad de software.
• Scareware: este tipo de malware está diseñado para persuadir al usuario de realizar acciones específicas en función del temor. El scareware falsifica ventanas emergentes que se asemejan a las ventanas de diálogo del sistema operativo. Estas ventanas muestran mensajes falsificados que indican que el sistema está en riesgo o necesita la ejecución de un programa específico para volver al funcionamiento normal. En realidad, no se evaluó ni detectó ningún problema y, si el usuario acepta y autoriza la ejecución del programa mencionado, el sistema se infecta con malware.
• Rootkit: este malware está diseñado para modificar el sistema operativo a fin de crear una puerta trasera. Los atacantes luego utilizan la puerta trasera para acceder a la computadora de forma remota. La mayoría de los rootkits aprovecha las vulnerabilidades de software para realizar el escalamiento de privilegios y modificar los archivos del sistema. También es común que los rootkits modifiquen las herramientas forenses de supervisión del sistema, por lo que es muy difícil detectarlos. A menudo, una computadora infectada por un rootkit debe limpiarse y reinstalarse.
• Virus: un virus es un código ejecutable malintencionado que se adjunta a otros archivos ejecutables, generalmente programas legítimos. La mayoría de los virus requiere la activación del usuario final y puede activarse en una fecha o un momento específico. Los virus pueden ser inofensivos y simplemente mostrar una imagen o pueden ser destructivos, como los que modifican o borran datos. Los virus también pueden programarse para mutar a fin de evitar la detección. La mayoría de los virus ahora se esparcen por unidades USB, discos ópticos, recursos de red compartidos o correo electrónico.
• Troyano: un troyano es malware que ejecuta operaciones maliciosas bajo la apariencia de una operación deseada. Este código malicioso ataca los privilegios de usuario que lo ejecutan. A menudo, los troyanos se encuentran en archivos de imagen, archivos de audio o juegos. Un troyano se diferencia de un virus en que se adjunta a archivos no ejecutables.
• Gusanos: los gusanos son códigos maliciosos que se replican mediante la explotación independiente de las vulnerabilidades en las redes. Los gusanos, por lo general, ralentizan las redes. Mientras que un virus requiere la ejecución de un programa del host, los gusanos pueden ejecutarse por sí mismos. A excepción de la infección inicial, ya no requieren la participación del usuario. Una vez infectado el host, el gusano puede propagarse rápidamente por la red. Los gusanos comparten patrones similares. Todos tienen una vulnerabilidad de activación, una manera de propagarse y contienen una carga útil. Los gusanos son responsables de algunos de los ataques más devastadores en Internet. Como se muestra en la Figura 1, en 2001 el gusano Código Rojo infectó 658 servidores. En el plazo de 19 horas, el gusano infectó más de 300 000 servidores.
• Hombre en el medio (MitM): el MitM permite que el atacante tome el control de un dispositivo sin el conocimiento del usuario. Con ese nivel de acceso, el atacante puede interceptar y capturar información sobre el usuario antes de retransmitirla a su destino. Los ataques MitM se usan ampliamente para robar información financiera. Existen muchas técnicas y malware para proporcionar capacidades de MitM a los atacantes.
• Hombre en el móvil (MitMo): una variación del hombre en el medio, el MitMo es un tipo de ataque utilizado para tomar el control de un dispositivo móvil. Cuando está infectado, puede ordenarse al dispositivo móvil que exfiltre información confidencial del usuario y la envíe a los atacantes. ZeuS, un ejemplo de ataque con capacidades de MitMo, permite que los atacantes capturen silenciosamente SMS de verificación de 2 pasos enviados a los usuarios.

Read More

Comandos y herramientas (Windows/DOS)

 

 

Los comandos permiten usar funciones integradas en el sistema operativo. Las herramientas hacen más cosas: permiten comprobar las redes, buscar hosts (que, por cierto, es cómo llamamos a los ordenadores conectados a una red), y te permiten ver o configurar el enrutamiento de tu host.

Read More

FIREWALL

 

Un firewall (cortafuegos) es un muro o partición diseñada para evitar que el fuego se propague de una parte a otra de un edificio. En las redes de computadoras, un firewall está diseñado para controlar o filtrar la entrada o salida de comunicaciones de un dispositivo o una red, como se muestra en la figura. Un firewall puede instalarse en una única computadora con el propósito de proteger dicha computadora (firewall ejecutado en un host) o puede ser un dispositivo de red independiente que protege toda una red de computadoras y todos los dispositivos host en dicha red (firewall basado en la red).

Durante años, dado que los ataques a la computadora y la red se han vuelto más sofisticados, se han desarrollado nuevos tipos de firewalls que atienden diferentes fines en la protección de la red. Esta es una lista de los tipos de firewall comunes:

• Firewall de capa de red: filtrado basado en las direcciones IP de origen y destino.
• Firewall de capa de transporte: filtrado basado en puertos de origen y datos de destino y filtrado basado en los estados de conexión.
• Firewall de capa de aplicación: filtrado basado en la aplicación, el programa o el servicio.
• Firewall de aplicación consciente del contexto: filtrado basada en el usuario, el dispositivo, la función, el tipo de aplicación y el perfil de amenazas.
• Servidor proxy: filtrado de solicitudes de contenido web, como URL, dominio, medios, etcétera.
• Servidor de proxy inverso: ubicados frente a los servidores web, los servidores de proxy inversos protegen, ocultan, descargan y distribuyen el acceso a los servidores web.
• Firewall de traducción de direcciones de red (NAT): ocultan o enmascaran las direcciones privadas de los hosts de red.
• Firewall basado en host: filtrado de puertos y llamadas de servicio del sistema en el sistema operativo de una computadora.

Read More

Clasificación de las vulnerabilidades en la seguridad

 

La mayoría de las vulnerabilidades en la seguridad del software se incluye en una de las siguientes categorías:

Desbordamiento del búfer: esta vulnerabilidad ocurre cuando los datos se escriben más allá de los límites de un búfer. Los búferes son áreas de memoria asignadas a una aplicación. Al cambiar los datos más allá de los límites de un búfer, la aplicación accede a la memoria asignada a otros procesos. Esto puede llevar a un bloqueo del sistema, comprometer los datos u ocasionar el escalamiento de los privilegios.

Entrada no validada: los programas suelen trabajar con la entrada de datos. Estos datos que entran al programa pueden tener contenido malicioso diseñado para que el programa se comporte de manera no deseada. Considere un programa que recibe una imagen para procesar. Un usuario malintencionado podría crear un archivo de imagen con dimensiones de imagen no válidas. Las dimensiones creadas maliciosamente podrían forzar al programa a asignar búferes de tamaños incorrectos e imprevistos.

Condiciones de carrera: esta vulnerabilidad sucede cuando el resultado de un evento depende de resultados ordenados o temporizados. Una condición de carrera se convierte en una fuente de vulnerabilidad cuando los eventos ordenados o temporizados requeridos no se producen en el orden correcto o el tiempo adecuado.

Debilidades en las prácticas de seguridad: los sistemas y los datos confidenciales pueden protegerse con técnicas tales como autenticación, autorización y encriptación. Los desarrolladores no deben intentar crear sus propios algoritmos de seguridad porque es probable que introduzcan vulnerabilidades. Se recomienda encarecidamente que los desarrolladores utilicen las bibliotecas de seguridad ya creadas, aprobadas y verificadas.

Problemas de control de acceso: el control de acceso es el proceso de controlar quién hace qué y va desde la administración del acceso físico a los equipos hasta determinar quién tiene acceso a un recurso, por ejemplo, un archivo, y qué pueden hacer con este, como leerlo o modificarlo. Muchas vulnerabilidades de seguridad se generan por el uso incorrecto de los controles de acceso.

Casi todos los controles de acceso y las prácticas de seguridad pueden superarse si el atacante tiene acceso físico a los equipos objetivo. Por ejemplo, no importa que haya configurado los permisos de un archivo, el sistema operativo no puede evitar que alguien eluda el sistema operativo y lea los datos directamente del disco. Para proteger los equipos y los datos contenidos, el acceso físico debe restringirse y deben usarse técnicas de encriptación para proteger los datos contra robo o daño.

Read More

REDES PRIVADAS VIRTUALES (VPN)

 

Imagine que desea conectarse desde su casa a través de Internet a servicios ofrecidos por ordenadores dentro de su red interna. Por ejemplo, podría querer iniciar una sesión de escritorio remoto, servicio ofrecido en el puerto 3389. O podría querer conectarse a su servidor de base de datos SQL Server, que permanece a la escucha en el puerto 1433. Una primera opción sería abrir dichos puertos en el cortafuegos perimetral. La contrapartida es que esos puertos estarían disponibles para cualquier persona en Internet. Un escáner de puertos podría descubrir que esos servicios se están prestando. Siempre que esos servicios los piense prestar a un número reducido de usuarios, una solución mucho más segura consiste en utilizar redes privadas virtuales.

Una red privada virtual (Virtual Private Network o VPN) es un túnel o canal seguro a través de Internet u otras redes públicas. El contenido de la conexión a través de Internet se cifra, de manera que sus datos quedan inaccesibles para el público, pero no para la red privada a la que se conecta. Las VPN se suelen utilizar para conectar dos redes locales a través de una red insegura como Internet. Gracias a la VPN, el ordenador remoto se conecta a la otra LAN como si estuviera directamente conecta a ella en local.

Desde el punto de vista empresarial, una red privada virtual puede utilizarse para definir una red o conjunto de redes lógicas sobre una red física. Las redes lógicas presentarán una diferenciación a nivel de red y aparentarán ser redes distintas. Desde el punto de vista de origen y destino de la comunicación se pueden distinguir varios tipos de redes privadas virtuales:

Sitio a sitio (site-to-site): Se trata de una red privada virtual entre dos redes. De manera transparente, todos los equipos de una ubicación pueden comunicarse con otros distantes realizándose toda la transmisión de información entre los dos centros por una red privada virtual. Para ello se configuran dos equipos terminadores en cada extremo, por ejemplo, equipo A y equipo B. Se establece una red privada virtual entre ellos, teniendo que encaminarse toda la información destinada a la ubicación destino B dentro del punto de origen sobre el terminador de túneles de la ubicación A, por lo que entonces de manera transparente el terminador A mandará la información tunelizada a B, que se encargará de remitírsela al destino, recoger la contestación y enviársela de nuevo tunelizada de vuelta al equipo terminador A. Gracias a este mecanismo, una empresa puede unir a través de Internet por ejemplo dos oficinas remotas, teniendo garantizada la confidencialidad e integridad de la información transmitida.

Cliente a sitio (client-to-site): En este tipo de red privada virtual una máquina se conecta a una red mediante un túnel. Este tipo de VPN es ampliamente utilizada por las empresas para otorgar una conexión remota a sus empleados desde Internet sin problemas de seguridad. Por ejemplo, se puede ubicar un terminador de túneles conectado a Internet y al mismo tiempo a la red interna, o preferiblemente a una DMZ. El usuario remoto procederá a establecer una VPN contra el servidor de túneles, después de lo cual su estación parecerá estar virtualmente en la propia empresa, pudiendo realizar cualquier tipo de comunicación como si estuviera en local, con la ventaja de utilizar una red de comunicaciones económica y con puntos de presencia en todo el mundo como es Internet. Esta fórmula de conexión es también válida para realizar teletrabajo o relaciones con proveedores, clientes o cualquier empresa colaboradora. Es la explicada en el apartado anterior para particulares.

Sitio a servidor (site-to-server): El tercer tipo de VPN es el realizado entre un cliente y un servidor, en definitiva la red privada virtual sólo se utiliza en la comunicación del cliente y el servidor. Un ejemplo muy extendido de este tipo de red es la utilización de SSL sobre el protocolo HTTP, ampliamente utilizado para proteger las comunicaciones entre clientes y servidores Web. Este tipo de terminadores son muy útiles para descargar del establecimiento de sesión SSL a las máquinas y adicionalmente pueden facilitar la posibilidad de monitorizar tráfico que en origen iba cifrado.

Desde el punto de vista del protocolo utilizado existen también distinciones entre las distintas redes privadas virtuales que se pueden crear:

• PPTP (Point to Point Tunneling Protocol): Protocolo para la creación de redes privadas virtuales desarrollado por Microsoft y USRobotics. Es ampliamente utilizado para realizar accesos sobre redes remotas mediante llamada telefónica.
• L2TP (Layer Two Tuneling Protocol): Protocolo que se presenta como la evolución de L2F y PPTP, presentando las ventajas de cada uno.
• IPSec (IP Security): Conjunto de protocolos desarrollados por el IETF para soportar el intercambio seguro de información dentro de TCP/IP. IPSec soporta dos modos de cifrado: transporte, en el que sólo se cifra el campo de datos; y túnel, en el que se cifra por completo todo el paquete, por lo que la cabecera que se añade es completamente nueva.
• L2F (Layer two Forwarding): Protocolo para la creación de redes privadas virtuales abanderado por CISCO.

Read More