IP Flooding

 

El ataque de IP Flooding se basa en una inundación masiva de la red mediante datagramas IP.

Este ataque se realiza habitualmente en redes locales o en conexiones con un gran ancho de banda. Consiste en la generación de tráfico basura con el objetivo de conseguir la degradación del servicio. De esta forma, se resume el ancho de banda disponible, ralentizando las comunicaciones existentes de toda la red.

Podemos pensar en la utilización de este ataque principalmente en redes locales cuyo control de acceso al medio es nulo y cualquier máquina puede ponerse a enviar y recibir paquetes sin que se establezca ningún tipo de limitación en el ancho de banda que consume.

El trafico generado en este tipo de ataque puede ser: 

Aleatorio. Cuando la dirección de origen o destino del paquete IP es ficticia o falsa. Este tipo de ataque es el mas básico y simplemente busca degradar el servicio de comunicación del segmento de red al que esta conectado el ordenador responsable del ataque.

Definido o dirigido. Cuando la dirección de origen, destino, o incluso ambas, es la de la máquina que recibe el ataque. El objetivo de este ataque es doble, ya que además de dejar fuera de servicio la red donde el atacante genera los datagramas IP, también tratará de colapsar al equipo de destino, sea reduciendo el ancho de banda disponible, o bien saturando su servicio ante una gran cantidad de peticiones que el servidor será incapaz de procesar.

Los datagramas IP utilizados podrían corresponder a:

UDP. Con el objetivo de generar peticiones sin conexion a ninguno de los puertos  disponibles. Según la implementación de la pila TCP/IP de las máquinas involucradas, las peticiones masivas a puertos especıficos UDP pueden llegar a causar el colapso del sistema.

ICMP. Generando mensajes de error o de control de flujo.

TCP. Para generar peticiones de conexión con el objetivo de saturar los recursos de red de la máquina atacada.

Una variante del IP Flooding tradicional consiste en la utilización de la dirección de difusión de la red como dirección de destino de los datagramas IP. De esta forma, el encaminador de la red se vera obligado a enviar el paquete a todos los ordenadores de la misma, consumiendo ancho de banda y degradando el rendimiento del servicio.

También existen otras variantes en las que se envían peticiones ICMP de tipo echo-request a varios ordenadores suplantando la dirección IP de origen, sustituida por la dirección de difusión ( broadcast) de la red que se quiere atacar. De esta forma, todas las respuestas individuales se ven amplificadas y propagadas a todos los ordenadores conectados a la red. 

La siguiente figura representa este tipo de escenario:

Read More

¿Problemas con correo electrónico? - Mail BlackList

 

Uno de los problemas de ciberseguridad más populares en la actualidad se lleva a cabo mediante correo electrónico, representando este el principal medio de infección para contraer cualquier tipo de archivo malicioso que comprometa la seguridad de nuestras empresas u hogares.

Técnicas de Ingeniería Social como el Phishing hacen que, miles de personas caigan en engaños mediante correo electrónico suplantando la identifidad de alguna empresa o persona con el único objetivo de infectar los ordenares de los usuarios con algún virus que, en el peor de los escenarios llegan a comprometer nuestra información al estarla extrayendo desde nuestro ordenador sin nuestra autorización y sin darnos cuenta de ello. Desencadenando así, problemas para las organizaciones como: perdida de información, sabotaje, espionaje y/o extorciones que pueden resultar en una gran perdida económica para nuestros negocios.

La realidad es que, nadie sin importar quienes sean, no están realmente a salvo. Incluso.. aunque no estés siendo victima de algún ciberespionaje puedes estar formando parte de una gran red de ciberataques que pueden llegar a comprometer la integridad de alguien o de los servicios en línea de alguien más.

Tal es el caso del spamware que, sin tener conocimiento de ello, tu equipo de cómputo puede estar formando parte de una BOTNET controlada por ciberdelincuentes para atacar a los diferentes servidores de correo electrónico saturandolos de correos basura (spam).

“Spam” significa el envío masivo de mensajes no solicitados, generalmente con fines publicitarios, fraudulentos o maliciosos. Estos mensajes suelen inundar las bandejas de entrada de los usuarios y pueden contener ofertas de productos, servicios, estafas, contenido engañoso o enlaces maliciosos.

De este modo, si se llegara a detectar tráfico malicioso como spam mediante los servidores de correo electrónico nuestra dirección IP pública de nuestro servicio de internet puede ser enlistado en una BLACKLIST derivando problemas en el envio y recepción de correo electrónico en general, provocando problemas graves en nuestros canales de comunicación con nuestros clientes.

Las PBL (Public BlackList) son organizaciones internacionales sin fines de lucro que rastrean el spam y las amenazas cibernéticas relacionadas, como phishing, malware y botnets, proporcionan inteligencia sobre amenazas altamente precisa y procesable en tiempo real a las principales redes, corporaciones y proveedores de seguridad de Internet, y trabajan con agencias policiales para identificar y buscar fuentes de spam y malware en todo el mundo.

Las listas de bloqueo de reputación y amenazas en tiempo real de las PBL protegen actualmente más de 3 mil millones de buzones de correo de usuarios y son responsables de bloquear la gran mayoría del spam y el malware enviados a Internet. Sus datos son utilizados hoy en día por la mayoría de los ISP de Internet, proveedores de servicios de correo electrónico, corporaciones, universidades, gobiernos y redes militares.

El tiempo estimado de los bloqueos en las PBL suele depender de cada una de las organizaciones, esto puede ser desde semanas hasta meses desde la última fecha en que se detectó el spam desde determinada dirección IP. Algunas dependencias, suelen catalogar el nivel de riesgo de sus amenazas y pueden incluir sistemas automáticos de desbloqueos, únicamente se necesita saber cuál o cuales PBL han realizado el bloqueo, acceder a su página de internet y llenar un formulario para posteriormente desbloquear la dirección IP. Cabe mencionar que, si el nivel de riesgo es catalogado como crítico, la PBL no permitirá que sus usuarios puedan desbloquear sus direcciones IP, para ello, será necesario abrir un ticket para que alguno de sus agentes lleve el caso hasta su posible solución y que, manualmente uno de ellos (si lo concidera propio) realice el desbloqueo.

¿Cómo puedo determinar si estoy en BLACKLIST?

Puedes realizar un escaneo a tu dirección IP en cualquiera de los siguientes BLACKLIST-CHECK que verifican en su base de datos de PBLs si te encuentras enlistado en alguna de ellas.

https://mxtoolbox.com/blacklists.aspx

https://blacklistalert.org/

Basta únicamente con ingresar la dirección IP en cuestión y en esperar a que se termine el escaneo, en el cual se obtendrá toda la información necesaria para saber si se está en blacklist y que dependencia en base a que razones realizó el bloqueo sobre dicha dirección IP.

Read More

Exploración de puertos

 

La exploracion de puertos es una técnica ampliamente utilizada para identificar los servicios que ofrecen los sistemas de destino. Suele ser la ultima de las actividades previas a la realizacion de un ataque.

La exploracion de puertos puede permitir el reconocimiento de los servicios ofrecidos por cada uno de los equipos encontrados en la red escogida. Con esta información, el atacante podría realizar posteriormente una búsqueda de exploits que le permitierá un ataque de intrusión en el sistema analizado.

Exploracion de puertos TCP

Aparte de ser de utilidad para obtener la huella identificativa de un sistema conectado a la red, la exploración de puertos TCP se puede utilizar para descubrir si dicho sistema ofrece o no un determinado servicio.

Existe un grande número de técnicas para realizar esta exploración de puertos TCP. Entre las mas conocidas, podemos destacar las siguientes:

• TCP connect scan. Mediante el establecimiento de una conexión TCP completa (completando los tres pasos del establecimiento de la conexión) la exploración puede ir analizando todos los puertos posibles. Si la conexión se realiza correctamente, se anotará el puerto como abierto (realizando una suposición de su servicio asociado según el número de puerto).
• TCP SYN scan. Enviando únicamente paquetes de inicio de conexión (SYN) por cada uno de los puertos que se quieren analizar se puede determinar si estos están abiertos o no. Recibir como respuesta un paquete RST-ACK significa que no existe ningún servicio que escuche por este puerto.
• TCP FIN scan. Al enviar un paquete FIN a un puerto, deberíamos recibir un paquete de reset (RST) sí dicho puerto está cerrado. Esta técnica se aplica principalmente sobre implementaciones de pilas TCP/IP de sistemas Unix.
• TCP Xmas Tree scan. Esta técnica es muy similar a la anterior, y también se obtiene como resultado un paquete de reset si el puerto está cerrado. En este caso se envían paquetes FIN, URG y PUSH.
• TCP Null scan. En el caso de poner a cero todos los indicadores de la cabecera TCP, la exploración debería recibir como resultado un paquete de reset en los puertos no activos.

La mayor parte de aplicaciones para realizar exploración de puertos TCP suelen ser ruidosas, es decir, no intentan esconder lo que se está analizando la red. Esto suele ser ası porque se presume que o bien nadie está revisando la actividad de exploración o que, utilizando un equipo comprometido, nadie podrá descubrir el equipo desde el que realmente se realiza la exploración de puertos.

Exploración de puertos UDP

Mediante la exploración de puertos UDP es posible determinar si un sistema está o no disponible, ası como encontrar los servicios asociados a los puertos UDP que encontramos abiertos.

Para realizar esta exploración se envían datagramas UDP sin ninguna información al campo de datos. En el caso de que el puerto este cerrado, se recibirá un mensaje ICMP de puerto no alcanzable (port unreachable). Si el puerto está abierto, no se recibirá ninguna respuesta.

Dado que UDP es un protocolo no orientado a conexión, la fiabilidad de este método depende de numerosos factores (mas todavía en internet), como son la utilización de la red y sus recursos, la carga existente, la existencia de filtros de paquetes en sistemas finales o en sistemas cortafuegos, etc.

Asimismo, y a diferencia de las exploraciones TCP, se trata de un proceso mucho más lento, puesto que la recepción de los paquetes enviados se consigue mediante el vencimiento de temporizadores (timeouts).

En el caso de detectar un elevado número de puertos UDP abiertos, el atacante podría concluir que existe un sistema cortafuegos entre su equipo y el objetivo. Para confirmar esta última posibilidad, se puede enviar un datagrama UDP al puerto cero. Esto tendría que generar una respuesta ICMP de puerto no alcanzable. No recibir esta respuesta significa que existe un dispositivo que filtra el tráfico.

Read More

Explorando el Mundo del Hacking Ético: Herramientas Esenciales para Pentesting

 

En este artículo, exploraremos algunas de las herramientas básicas utilizadas en el campo del hacking ético y el pentesting, destacando su importancia para identificar y reforzar las vulnerabilidades de seguridad.

El hacking ético, o pentesting, traspasa los límites de la seguridad informática para identificar y corregir vulnerabilidades antes de que puedan ser explotadas maliciosamente. Aquí destacamos algunas herramientas clave que los profesionales de la seguridad utilizan en este apasionante campo.

1. Metasploit:

Descripción: Una herramienta integral para pruebas de penetración y desarrollo de exploits. Metasploit facilita la identificación de vulnerabilidades y la realización de ataques controlados.

Uso: Exploración, explotación y posterior explotación.

2. Wireshark:

Descripción: Un analizador de protocolos de red que permite examinar el tráfico en tiempo real. Ideal para detectar posibles brechas de seguridad y entender las comunicaciones en la red.

Uso: Análisis de tráfico de red.

3. Nmap:

Descripción: una herramienta de escaneo de red que ayuda a descubrir dispositivos y servicios en su red. Proporciona información valiosa sobre la topología de la red.

Uso: descubrimiento y evaluación de redes.

4. Burp Suite:

Descripción: Una suite completa para realizar pruebas de seguridad para aplicaciones web. Esto le permite identificar vulnerabilidades como inyecciones SQL y secuencias de comandos entre sitios (XSS).

Uso: Análisis de seguridad en aplicaciones web.

5. Aircrack-ng:

Descripción: Herramienta de auditoría de seguridad inalámbrica utilizada para analizar y romper claves de cifrado WEP y WPA.

Uso: Evaluación de la seguridad de redes inalámbricas.

6. OWASP Zap:

Descripción: Zap es una herramienta de seguridad de aplicaciones web de código abierto. Ayuda a encontrar vulnerabilidades de seguridad durante el desarrollo y las pruebas.

Uso: pruebas de seguridad en aplicaciones web.

7. John the Ripper:

Descripción: una herramienta de prueba de contraseñas que realiza ataques de fuerza bruta y ataques de diccionario para recuperar contraseñas.

Uso: Auditoría de contraseñas.

El hacking ético es esencial para fortalecer la ciberseguridad. Estas herramientas son valiosos aliados para los profesionales que desean identificar y corregir vulnerabilidades antes de que los ciberdelincuentes las exploten. Sin embargo, es importante recordar que estas herramientas deben usarse de manera ética y con los permisos adecuados para garantizar la integridad y legalidad de las pruebas de seguridad.

Read More

Rootkit y botnet.

Rootkit es una pieza de software instalada y escondida en la computadora de un usuario sin que éste sepa de su existencia. El rootkit puede estar incluido en un paquete de software o haber sido instalado en forma personal por el atacante, aprovechando los puntos vulnerables de una computadora, sobre todo si el usuario “baja” información muy voluminosa de Internet. Un rootkit esconde actividades maliciosas, ya que una vez que está instalado, el atacante puede tener acceso a la información de la computadora, monitorear las actividades del propietario de la computadora, modificar programas y otras actividades sin que nadie lo note.

Además de los rootkit, los atacantes también hacen uso de botnet, un programa que se ejecuta de modo automático en la computadora, el cual tiene su origen en la palabra bot, que proviene de robot. Los botnets se refieren a computadoras que se controlan por una o más fuentes externas.

Durante el ataque con los botnet, el atacante toma el control de una computadora infectándola con un virus u otro intruso maligno, lo que le permite tener acceso a la computadora. Una vez que el atacante ha tomado el control de una computadora, ésta trabaja de manera normal, con lo cual al atacante se le facilitan ciertas operaciones, como la distribución de correos spam, infectar con virus a otras computadoras o realizar ataques de negación de servicio.

Estos ataques son muy difíciles de detectar, tanto el rootkit como el botnet, debido a que los atacantes suelen esconderse muy bien, por lo que pueden pasar inadvertidos para el usuario de la computadora, a menos de que éste busque ciertas actividades; incluso, un buen antivirus no puede detectar, y menos eliminar, estos programas malignos, los cuales son utilizados, entre otras cosas, para modificar información personal del propietario de la computadora, con el fin de dañarlo seriamente, sobre todo en sus cuentas bancarias. Si se considera que un atacante puede tomar el control de una computadora, también puede controlar muchas otras, lo que le permite cometer los mismos delitos (robar y alterar información) con muchos usuarios e incluso vigilar sus actividades en línea.

La mejor forma de evitar convertirse en víctima de alguno de estos tipos de ataque es tener buenos hábitos en lo que se refiere a seguridad informática, ya sea que se trate de una computadora personal o una red; en el caso específico de redes de cómputo, por política de las empresas (para mayor detalle véase capítulo 4, La seguridad física y lógica en redes), corresponde al administrador de la red mantener dichos hábitos. La instalación de un firewall previene esos riesgos de infección, bloqueando el tránsito de información maliciosa antes de que entre a la computadora y limitando la cantidad de información que se envía. También es importante utilizar buenos antivirus y mantenerlos actualizados, pues hay que recordar que los atacantes también actualizan sus virus para facilitar sus ataques.

Por desgracia, es muy difícil que un usuario detecte que ha sido atacado por un rootkit; y aunque logre detectarlo, es muy difícil que consiga eliminar dicha infección, pues una vez que el atacante ha logrado modificar algunos archivos en la computadora del usuario, la eliminación de estos archivos no basta para acabar con el problema y, de hecho, todas las versiones anteriores de ese archivo serán sospechosas de haber sufrido un ataque similar. Una alternativa para solucionar el problema es formatear toda la computadora y reinstalar desde el sistema operativo con un software nuevo. Es tan difícil eliminar una infección de este tipo, que en ocasiones el rootkit se aloja en niveles muy profundos que no se eliminan formateando ni reinstalando el sistema operativo.

Read More

Inyección SQL

 

El método de inyección SQL permite que un código intruso entre a una aplicación en el nivel de validación de las entradas, para realizar operaciones sobre una base de datos. El lenguaje estructurado para consulta (SQL, por sus siglas en inglés; Structured Query Language) es un lenguaje basado en el desarrollo de programas que especifican o declaran un conjunto de condiciones, proposiciones, afirmaciones, restricciones, ecuaciones o transformaciones que describen el problema y presentan la solución. Permite el manejo del álgebra y el cálculo relacional, lo cual admite consultar las bases de datos para recuperar información de manera sencilla y hacer cambios en la información que poseen las bases de datos.

El origen de la vulnerabilidad radica en que no se verifican de manera correcta las variables utilizadas en un programa que contiene o genera un código SQL, esto es un error que sucede en cualquier lenguaje de programación que está incorporado a otro lenguaje, y por eso es posible incrustar un código intruso dentro del código SQL programado, con lo cual se altera el funcionamiento normal del programa, pues éste ya contiene un código adicional en la base de datos.

Cuando alguien, por lo común un hacker o un cracker, logra “agregar” ese código extra a la base de datos, lo hace para dañar o espiar la información de la base de datos, lo cual se logra más fácilmente cuando el programa se desarrolló con descuido o con ignorancia del problema, exponiendo a un riesgo la seguridad del sistema; por ejemplo, si al programar hay un simple olvido de anotar comillas en el programa, esto puede ser suficiente para volver vulnerable a ese programa, ya que una inyección de código SQL se aprovecha de la sintaxis en este lenguaje para introducir comandos de manera ilícita que permitan leer o modificar la base de datos, comprometiendo el contenido de la consulta original. Una vez que el intruso ha logrado entrar mediante la inyección o adición de este código, éste puede modificar valores en la base de datos en forma arbitraria, instalar cualquier tipo de malware, tener privilegios extras con el uso de las vulnerabilidades del sistema operativo o atacar usuarios de páginas web con inyecciones de código HTML o scripts.

Cuando se ejecuta un programa vulnerable es posible “agregar o inyectar” el nuevo código. Si esta acción se ejecuta en un sitio web, tiene lugar en el servidor huésped. Una inyección de código puede resultar en la pérdida o la corrupción de datos, falta de responsabilidad en acciones o denegación de acceso. Una inyección es capaz, incluso, de tomar control total de un nodo.

Pero el sistema se vuelve más vulnerable cuando en un programa se arma una sentencia SQL en forma descuidada en el intervalo de tiempo en que un programa de la computadora se ejecuta en un sistema operativo, que inicia al poner en la memoria principal el programa, por lo que el sistema operativo empieza a ejecutar sus instrucciones, y concluye al enviar al sistema operativo la indicación de terminación. Otro momento de vulnerabilidad se produce durante la fase de desarrollo, cuando el programador indica directamente la sentencia que se debe ejecutar, pero lo hace de manera desprotegida. Cuando el programador va a hacer una consulta en la base de datos, y hace uso de los parámetros a ingresar por parte del usuario, es dentro de esos parámetros en que se puede “agregar o inyectar” un código adicional malintencionado. En el tiempo en que el programador hace la consulta, el código maligno, que ya forma parte de la base de datos, también se ejecuta y pone en práctica cualquiera de los comandos que se han señalado (insert, update, delete y select).

La inyección de encabezado HTTP es un área relativamente nueva para los ataques basados en la Web, que se produce cuando los encabezados del protocolo de transferencia de hipertexto (HTTP) se generan dinámicamente en función de la entrada del usuario. La inyección de cabeceras en las respuestas HTTP puede permitir la división de respuestas HTTP en la falsificación de solicitudes en un sitio de cruce de información (CSRF, por sus siglas en inglés; Cross Site Request Forgery) y los ataques de redireccionamiento maliciosos a través de la cabecera de ubicación del HTTP.

Existe otra forma de ataque mediante la inyección de comandos, por lo que es importante que los administradores de red conozcan que cualquier dato es factible de ser modificado, ya sea que vaya hacia un buscador o salga de éste, por lo que se recomienda que cada dato de entrada sea validado en el mismo servidor y que el usuario no pueda controlarlo. Esto significa que el administrador de la red deberá configurar el servidor para que haga una autenticación en el directorio de cada archivo que éste contenga.

Un atacante con cierta experiencia logra modificar los parámetros accountnumber y debitamount, con el fin de obtener un beneficio monetario de esta acción, ya que en general estos parámetros están asociados a cuentas y operaciones bancarias. Asimismo, también pueden ser modificados los pará- metros de atributos que tienen datos únicos y que caracterizan el comportamiento de la página que se envía. En la actualidad, hay aplicaciones web para compartir contenidos que sólo permiten que el creador del contenido pueda modificar la información, ya que ésta verifica que el usuario que solicita acceso es el verdadero autor del contenido. Pero, si es un atacante quien solicita el acceso y le es negado, al modificar el parámetro mode readwrite, él podría obtener el permiso para entrar al contenido. Cualquier mecanismo de validación que no sea suficientemente robusto, siempre será una debilidad del sistema que permita ataques maliciosos.

Read More

Ataque en la capa de red

 

Aunque el ataque de ARP Poisoning es potencialmente el más funcional para la realización de la técnica de hombre el medio, no es el único existente. Aun siendo menos functional, existe también la posibilidad de hacer uso de la técnica de lCMP Redirect. Este ataque presenta un problema fundamental y es que no es factible realizarlo en una red con Switch, se encuentra limitado a una red con concentradores. Pero sin en una red con concentradores la infonnación ya llega al atacante ¿para qué vale? Pues en este caso para manipular el tráfico que envfa la víctima.

El ataque de ICMP Redirect se basa en el envio a un equipo de la red de un mensaje de redirección ICMP, haciendo creer que es la mejor ruta hacia Internet. Todas las conexiones serán enviadas al atacante, el cual las enviará al Gatcway. El ataque es de tipo M1TM Half Dúplex, es decir solo hacia un sentido: victima hacia el router. El router enviará las respuestas directamente hacia el cliente. Es importante tener en cuenta que no deberla modificarse el tamaño del paquete, puesto que entonces se producirla un fallo en la secuencia TCP al no poder ser actualizado en ambos sentidos. Los paquetes podrán ser alterados pero deberá mantenerse el tamaño.

Para que este ataque sea factible hay que facilitar como datos la dirección MAC y la lP del router real. Este ataque como se ha dicho implica que no puede ser utilizado en una red con dispositivos de conmutación.

En la capa de red se dan también otros tipos de ataques donde los mlis significativos corresponden con las técnicas de Spooflng de protocolos de enrutamiento. La capacidad para alterar las rutas de encaminamiento permitirla a un atacante reconducir el tráfico a su antojo a la vez que podría analizar el tráfico circulante. La idea fundamental es ganar la confianza y declarar ser la mejor opción o bien inyectar nuevas rutas en los dispositivos de enrutamiento. La mayor parte de protocolos de enrutamiento dinámicos determinan que la mejor forma de llegar a un punto viene determinada por un proceso de prelación. El mismo se consigue estableciendo la menor ruta factible como la más óptima en una métrica de rutas. Si se alteran las rutas o se introducen nuevas, podría suponer una reconfiguración del escenario muy significativo.

Aunque no es muy habitual que los protocolos de enrutamiento dinámicos sean utilizados en las redes internas de una organización, a veces por la complejidad de las mismas, se hace necesario emplearlos. En otras ocasiones se encuentran activos en los dispositivos de enrutamiento pero no configurados. Las condiciones de enrutamiento entre VLAN, también necesitan de la configuración de rutas y a veces son mantenidos automáticamente por los dispositivos de Capa 2/3, sin la intervención del administrador de red. Estas situaciones podrían ser aprovechadas por un atacante para mediatizar el tráfico que circula en la organización

Read More

Soluciones de seguridad

 

Network Access Control (NAC):

Verificar el estado de los equipos que se conectan a la red y corregir los desvios antes de que pueda utlizar los servicios de esta.

Wireless LAN Controller:

Administra los Access Point distribuidos y los muestra como si fueran uno solo de gran cobertura. Centraliza las políticas y la autenticación.

Firewall de aplicación:

Permite filtrar según contenido, y no solamente por números de puertos. Puede integrarse con un IPS para bloquear ataques.

Intrusion Prevention System (IPS):

Analiza el tráfico en búsqueda de amenazas. Posee firmas para vulnerabilidades conocidas y aplica reglas generales sobre el tráfico.

Read More

Introducción a la Criptografía (Primera Parte)

 

El término criptografía proviene del griego y significa código secreto; ésta consiste en ocultar y mantener en secreto la información cifrándola. Llamamos encriptación a esta codificación.

La encriptación garantiza que el texto normal (sin formato), cuando lo envías, sea ilegible para el destinatario (ya sea intencionado o no). Llamamos texto cifrado a la versión encriptada del texto sin formato.Sólo la persona a quien va dirigido el texto sabe cómo hacer que éste sea legible otra vez. A esto último, es decir, a hacerlo legible nuevamente, se le llama descifrado. En lugar de utilizar los términos cifrado y descifrado, también utilizamos la antonimia codificación y decodificación.

El cifrado, en su forma más simple, puede ser un acuerdo de antemano sobre las palabras codificadas. El código puede ser una palabra simple o un algoritmo; también se le llama clave.

Existen dos tipos de criptografía:

Criptografía simétrica: El remitente y el destinatario acuerdan qué clave secreta se utiliza para el cifrado y el descifrado. Debido a que el emisor y el receptor deben compartir la misma clave, es posible que ésta sea interceptada por los hackers durante la comunicación.

Criptografía asimétrica: Utiliza claves públicas y secretas. Los cifrados con la clave pública sólo se pueden descifrar con la contraseña secreta. Aquí es donde el emisor y el receptor se comparten sus claves públicas, pero no las secretas. Por ejemplo, el remitente encripta un texto con la clave pública del destinatario. El texto cifrado ahora sólo se puede descifrar con la clave secreta del destinatario. Es importante considerar que las claves secretas nunca se comparten.

Read More

¡Bloquear Publicada, Malware y Páginas para adulto en tu Red desde la capa DNS!

 

Seguramente en navegación día a día a través de tu red, sufres con los problemas más comunes que rodean al internet en todo momento, tus dispositivos se contagian de Virus Informáticos provenientes de páginas de navegación no segura o de alguna publicidad dañina, así mismo, puedo asegurar que la publicidad al navegar te persigue sin cansancio en todo momento en la mayoría de las páginas que visitas. Si no cuentas con un software antivirus que te proteja de todos estos problemas del internet de ahora, puedes optar por usar DNS públicos seguros de proveedores como: Cloudflare, Norton o AdGuard.

Estos servidores DNS tiene la particularidad de bloquear todo este tipo de apenas y permitirte una navegación más segura para ti y los usuarios de tu red.

¿Cómo funciona?

• Imaginemos que has conectado tus dispositivos a alguno de estos DNS públicos. Ahora tu servicio DNS está en funcionamiento.
• Cada vez que escribas el nombre de un sitio web, tu dispositivo pedirá a ese DNS la dirección IP correspondiente.
• Si la dirección del dominio pertenece a un sitio web publicitario, de seguimiento, malicioso o de phishing, el DNS bloqueará su acceso, protegiéndole así de ataques maliciosos o de violaciones de la privacidad.
• ¡Y ya está listo! Estos DNS te ayudarán a controlar tu experiencia en línea y ver lo que deseas ver sin exponerte a anuncios, seguimientos o amenazas maliciosas.

¿Cuáles son estos servidores DNS?

CloudFlare

Solo bloqueo de malware:

• 1.1.1.2
• 1.0.0.2

Bloqueo conjunto de malware y contenido para adultos:

• 1.1.1.3
• 1.0.0.3

AdGuard

Anuncios y rastreadores:

• 94.140.14.14
• 94.140.15.15

Anuncios, rastreadores y contenido para adultos :

• 94.140.14.15
• 94.140.15.16

NORTON

• Seguridad (virus, sitios de phishing y sitios fraudulentos): 199.85.126.10
• Seguridad + Pornografía: 199.85.126.20
• Seguridad + Pornografía + Otros: 199.85.126.30

Puedes utilizar los DNS asignándolos manualmente en cada uno de tus dispositivos que quieras mantener protegidos o asignarlos en tu Módem para que los asigne automáticamente a todos los usuarios que se conecten a la red.

Por recomendación, agrega como DNS primario uno de estos DNS seguros y como DNS secundario un servidor público de respaldo, puede ser Google (8.8.8.8,8.8.4.4), esto para crear redundancia en la resolución de dominios por si el DNS principal llegara a fallar.

Read More

Envenenamiento de la red: poisoning

 

La técnica de poisoning o envenenamiento consiste en redireccionar el tráfico de usuarios lícitos a sitios usualmente controlados por un atacante. Esta técnica suele implementarse a partir de la manipulación de los protocolos ARP y DNS.

El ARP poisoning, también conocido como ARP spoofing, consiste en generar peticiones y respuestas ARP modificadas con el objetivo de asociar la dirección MAC del atacante con la dirección IP del gateway. De este modo, todo el tráfico de ese segmento pasará primero por el atacante, que podrá analizarlo y redirigirlo luego hacia el destino final. Un modo de protegerse frente al ARP spoofing es utilizando tablas ARP estáticas.

Si bien esto previene la implementación de esta técnica, puede tornar dificultosa y compleja la administración de entornos grandes. Un método alternativo se basa en usar aplicaciones para detección de cambios de las tablas ARP (arpwatch, por ejemplo) e implementar el uso de la seguridad de puerto que poseen algunos switches para evitar cambios en las direcciones MAC.

IMG1. Manual de la herramienta arpwatch, utilizada para detectar cambios en la asociación entre direcciones MAC e IP.

Adicionalmente, y tal como se mira una técnica de análisis de tráfico, la segmentación de las redes reduce la visibilidad del segmento que un atacante tiene al lanzar este ataque, con lo cual también es una buena medida complementaria.

IMG2. Ataque de ARP Spoofing a un Host.

IMG3. Identificación del ARP Spoofing a través de Wireshark.

Por otro lado, tal como hemos mencionamos, otro de los protocolos que, por sus particularidades, suele ser blanco de ataques de estas características es el DNS. La técnica de DNS cache poisoning consiste en hacer de manera maliciosa que un servidor DNS reciba datos de una fuente no autoritativa, de manera tal de contaminar su tabla caché.

Así, si un atacante puede controlar dicha tabla, podrá modificar la relación entre la dirección IP y la URL asociada, haciendo que cuando un cliente lícito quiera acceder a un sitio web, en realidad acceda a otro controlado por el atacante. Por ejemplo, supongamos que el sitio web al que deseamos acceder es www.facebook.com, y la dirección IP asociada es la 98.129.229.166. Mediante la modificación de su caché, podríamos hacer que, cuando un usuario acceda a www.facebook.com, en vez de dirigirse a la IP 98.129.229.166, termine accediendo a otra IP controlada por el atacante.

En esta nueva dirección IP, el atacante podría tener levantado un servidor web malicioso de similares características, que disfrace a través de herramientas de Ingeniería Social.

Este ataque puede deberse a fallas en la implementación de los sistemas, vulnerabilidades en la aplicación DNS, falta de configuración del servidor y escenarios perniciosamente diseñados que explotan la arquitectura de un DNS. Una vez que un servidor DNS ha recibido datos maliciosos y los almacena temporalmente para futuros incrementos de desempeño, es considerado envenenado, y extiende el efecto a los clientes del servidor.

El lector atento notará que, en este caso, el usuario poco puede hacer para protegerse de este ataque, ya que la vulnerabilidad siempre está en el servidor DNS.

Técnicas de Mitigación contra DNS Spoofing.

• Supervisar y filtrar el tráfico DNS de forma exhaustiva.

• Proteger los DNS agregando DNSSEC.

• Parchar regularmente los servidores DNS.

• Demostrar si el servidor de nombres autorizado coincide con lo que se responde localmente.

• Usar VPN (una red privada virtual), especialmente si se van a enviar datos confidenciales.

• Buscar señales de seguridad y autenticidad en los sitios web antes de escribir cualquier dato.

• Evita abrir enlaces extraños.

• Cifrado de extremo a extremo: este método cifra la solicitud de datos de DNS y mantiene alejados a los atacantes, ya que no es posible que dupliquen la licencia de seguridad única del sitio web.

• Actualizaciones de DNS: para ayudar a protegerse contra los atacantes de DNS, las versiones actualizadas de DNS incluyen aleatorización de puertos e ID de transacciones criptográficamente seguras. Asegúrese de que el servidor que se utiliza esté siempre actualizado.

Técnicas de Mitigación contra ARP Spoofing.

• Confíe en las VPN (Redes Privadas Virtuales): Una forma de evitar que ocurra la suplantación de ARP en primer lugar es confiar en las redes privadas virtuales (VPN). Cuando se conecta a Internet, normalmente primero se conecta a un proveedor de servicios de Internet (ISP) para conectarse a otro sitio web. Sin embargo, cuando usa una VPN, está usando un túnel encriptado que bloquea en gran medida su actividad de los piratas informáticos que suplantan ARP. Tanto el método por el que realiza la actividad en línea como los datos que pasan por ella están encriptados.

• Usar un ARP estático: La creación de una entrada ARP estática en su servidor puede ayudar a reducir el riesgo de suplantación de identidad. Si tiene dos hosts que se comunican regularmente entre sí, la configuración de una entrada ARP estática crea una entrada permanente en su caché ARP que puede ayudar a agregar una capa de protección contra la suplantación de identidad.

• Obtenga una herramienta de detección: Incluso con el conocimiento y las técnicas de ARP implementados, no siempre es posible detectar un ataque de suplantación de identidad. Los piratas informáticos se vuelven cada vez más sigilosos para pasar desapercibidos y utilizan nuevas tecnologías y herramientas para adelantarse a sus víctimas. En lugar de centrarse estrictamente en la prevención, asegúrese de contar con un método de detección. El uso de una herramienta de detección de terceros puede ayudarlo a ver cuándo se está produciendo un ataque de suplantación de identidad para que pueda detenerlo en el momento.

• Evite las relaciones de confianza: Algunos sistemas se basan en relaciones de confianza de IP que se conectarán automáticamente a otros dispositivos para transmitir y compartir información. Sin embargo, debe evitar por completo confiar en las relaciones de confianza de IP en su empresa. Cuando sus dispositivos usan direcciones IP solo para verificar otra máquina o la identidad de un usuario, es fácil que un hacker se infiltre y falsifique su ARP. Otra solución es confiar en inicios de sesión y contraseñas privadas para identificar a los usuarios. Sea cual sea el sistema que elija para validar a sus usuarios, necesita políticas de protección establecidas en su organización. Esta sencilla técnica puede crear una capa adicional de protección y realizar un seguimiento de quién intenta acceder a sus sistemas.

• Configurar filtrado de paquetes: Algunos atacantes ARP enviarán paquetes ARP a través de la LAN que contienen la dirección MAC del atacante y la dirección IP de la víctima. Una vez que se han enviado los paquetes, un atacante puede comenzar a recibir datos o esperar y permanecer relativamente desapercibido mientras se prepara para lanzar un ataque de seguimiento. Y cuando un paquete malicioso se ha infiltrado en su sistema, puede ser difícil detener un ataque de seguimiento y asegurarse de que su sistema esté limpio. El filtrado y la inspección de paquetes pueden ayudar a detectar paquetes envenenados antes de que lleguen a su destino. Puede filtrar y bloquear paquetes maliciosos que muestren cualquier fuente de información conflictiva.

• Configuración de monitoreo de malware: Las herramientas antivirus y de malware que ya utilizan pueden ofrecer algún recurso contra la suplantación de identidad ARP. Mire su configuración de monitoreo de malware y busque categorías y selecciones que monitoreen el tráfico ARP sospechoso desde los puntos finales. También debe habilitar cualquier opción de prevención de suplantación de ARP y detener cualquier proceso de punto final que envíe tráfico ARP sospechoso.

Read More

Métodos de infiltración

 

Ingeniería social

La ingeniería social es la manipulación a las personas para que realicen acciones o divulguen información confidencial. Los ingenieros sociales con frecuencia dependen de la disposición de las personas para ayudar, pero también se aprovechan de sus vulnerabilidades. Por ejemplo, un atacante llamará a un empleado autorizado con un problema urgente que requiere acceso inmediato a la red y apelará a la vanidad o la codicia del empleado o invocará la autoridad mediante el uso de técnicas de eliminación de nombres para obtener este acceso.

Denegación de servicio

Los ataques de denegación de servicio (DoS) son un tipo de ataque de red que es relativamente sencillo de llevar a cabo, incluso por parte de un atacante no cualificado. Un ataque DoS da como resultado cierto tipo de interrupción del servicio de red a los usuarios, los dispositivos o las aplicaciones.

Los ataques de DoS se consideran un riesgo importante porque pueden interrumpir fácilmente la comunicación y causar una pérdida significativa de tiempo y dinero.

DoS distribuido

Un ataque DoS distribuido (DDoS) es similar a un ataque DoS pero proviene de múltiples fuentes coordinadas. Por ejemplo:

• Un atacante crea una red (botnet) de hosts infectados llamados zombies, que son controlados por sistemas de manejo.
• Las computadoras zombis constantemente analizan e infectan más hosts, creando más y más zombis.
• Cuando está listo, el hacker proporciona instrucciones a los sistemas manipuladores para que los botnet de zombies lleven a cabo un ataque de DDoS.

Botnet

Una computadora bot se infecta generalmente por visitar un sitio web, abrir un elemento adjunto de correo electrónico o abrir un archivo de medios infectado. Una botnet es un grupo de bots, conectados a través de Internet, que pueden ser controlados por un individuo o grupo malintencionado. Puede tener decenas de miles, o incluso cientos de miles, de bots que normalmente se controlan a través de un servidor de comando y control.

Estos bots se pueden activar para distribuir malware, lanzar ataques DDoS, distribuir correo electrónico no deseado o ejecutar ataques de contraseña por fuerza bruta. Los ciberdelincuentes suelen alquilar botnets a terceros con fines nefastos.

Muchas organizaciones, como Cisco, fuerzan las actividades de red a través de filtros de tráfico de botnet para identificar cualquier ubicación de botnet.

Ataques en el camino

Los atacantes en ruta interceptan o modifican las comunicaciones entre dos dispositivos, como un navegador web y un servidor web, ya sea para recopilar información de uno de los dispositivos o para hacerse pasar por uno de ellos.

Este tipo de ataque también se conoce como ataque de hombre en el medio o de hombre en el móvil.

• Hombre en el medio (MITM): Un ataque MiTM ocurre cuando un ciberdelincuente toma el control de un dispositivo sin que el usuario lo sepa. Con ese nivel de acceso, el atacante puede interceptar y capturar información sobre el usuario antes de retransmitirla a su destino. Estos tipos de ataques se utilizan a menudo para robar información financiera. Hay muchos tipos de malware que poseen capacidades de ataque MiTM.
• Hombre en el móvil (MITMO): Una variación del hombre en el medio, el MitMo es un tipo de ataque utilizado para tomar el control de un dispositivo móvil. Cuando está infectado, el dispositivo móvil recibe instrucciones de filtrar información confidencial del usuario y enviarla a los atacantes. ZeUS es un ejemplo de paquete de malware con capacidades MitMO. Permite a los atacantes capturar silenciosamente los mensajes SMS de verificación en dos pasos que se envían a los usuarios.

Envenenamiento SEO

Probablemente hayas oído hablar de la optimización de motores de búsqueda o SEO que, en términos simples, se trata de mejorar el sitio web de una organización para que gane una mayor visibilidad en los resultados de los motores de búsqueda.

Ataques de contraseña

La introducción de un nombre de usuario y una contraseña es una de las formas más populares de autenticarse en un sitio web. Por lo tanto, descubrir su contraseña es una forma fácil para que los ciberdelincuentes accedan a su información más valiosa.

• Pulverización de contraseña: Esta técnica intenta obtener acceso a un sistema «rociando» algunas contraseñas de uso común en un gran número de cuentas. Por ejemplo, un ciberdelincuente utiliza «Password123» con muchos nombres de usuario antes de volver a intentarlo con una segunda contraseña de uso común, como «qwerty». Esta técnica permite que el perpetrador permanezca sin ser detectado, ya que evita los bloqueos frecuentes de la cuenta.
• Ataques de diccionario: Un hacker intenta sistemáticamente todas las palabras de un diccionario o una lista de palabras de uso común como contraseña en un intento de ingresar a una cuenta protegida con contraseña.
• Ataques por fuerza bruta: Son la forma más simple y más utilizada de obtener acceso a un sitio protegido con contraseña. Los ataques de fuerza bruta ven a un atacante utilizando todas las combinaciones posibles de letras, números y símbolos en el espacio de contraseñas hasta que lo hacen bien.
• Ataques arco iris: Las contraseñas de un sistema informático no se almacenan como texto sin formato, sino como valores con hash (valores numéricos que identifican datos de forma única). Una tabla arcoíris es un gran diccionario de valores hash precalculados y las contraseñas a partir de las cuales se calcularon. A diferencia de un ataque de fuerza bruta que tiene que calcular cada hash, un ataque de arco iris compara el hash de una contraseña con los almacenados en la tabla rainbow. Cuando un atacante encuentra una coincidencia, identifica la contraseña utilizada para crear el hash.
• Interceptación de tráfico: El texto sin formato o las contraseñas sin cifrar pueden ser leídas fácilmente por otras personas y máquinas al interceptar las comunicaciones. Si almacena una contraseña en texto claro y legible, cualquier persona que tenga acceso a su cuenta o dispositivo, ya sea autorizado o no, podrá leerlo.

Read More