Ciberseguridad: Tipos de Ataques, Malware y Mejores Prácticas

Tipos de Atacantes

Wannabe: Futuro hacker.

Hacktivista: Lucha por una causa hackeando.

Newbie: Hacker novato.

Lammer/Script Kiddie: Se cree hacker sin tener conocimientos.

Tipos de Ataques

Spoofing: Suplantar identidad.

Sniffing: Husmear el tráfico de red.

Exploiting: Explotar bugs del sistema.

Adivinación de Contraseña: Por fuerza bruta o diccionario.

Hijacking: Robo de conexiones.

Rogue Software: Falso software antimalware.

DDoS: Denegación de servicio.

Ingeniería Social: Engañar a la gente para que instale software o dé información personal.

Phishing: Replicar una web con el fin de engañar al usuario.

Spear Phishing: Atacar a una persona en específico con un correo con información personal suya para engañarlo.

Whaling: Igual que el Spear Phishing, pero dirigido a un alto cargo de una empresa.

Defacement: Cambiar el contenido de una web.

Tipos de Malware

Keylogger: Captura pulsaciones del teclado y pantallas.

Malware: Troyanos, virus, etc.

Ransomware: Encriptar discos pidiendo dinero a cambio.

Leyes de Protección de Datos

LOPD: Ley Orgánica de Protección de Datos.

LSSICE: Ley de Servicios de la Sociedad de la Información y Comercio Electrónico.

RGPD: Reglamento General de Protección de Datos.

Ley de Hacking.

Herramientas de Seguridad

Reconocimiento Activo: El proceso de recolectar información (contra el objetivo) para detectar software, protocolos de red, sistema operativo o dispositivos hardware se le conoce como fingerprinting.

Navegador TOR: Acceso a la Dark Web.

Netcat (nc o ncat): Permite leer y escribir datos entre equipos en red.

Wireshark: Captura paquetes de red.

Para encontrar vulnerabilidades: wpscan (WordPress), joomscan (Joomla), cmseek (CMD genérico), dirbuster (saca nombre de directorios y archivos), foca (saca metadatos).

Para escanear ordenadores buscando vulnerabilidades: Nessus, Nexpose, MBSA, GFI Languard y Openvas.

Ubicación y Protección Física

Edificio: Espacio, acceso, altura elevada.

Iluminación/Acústico: Amortiguar ruido y vibraciones.

Seguridad Física del Edificio: Contra incendios, inundaciones, terremotos.

Suministro Eléctrico: Contra picos o apagones.

Siempre evitar: Interferencias, maquinaria pesada, zonas exteriores, sótanos, última planta y encima de garajes.

Siempre debe haber: Un servicio de vigilancia y un sistema de climatización.

Se debe tener: Planes de contingencia preparados para desastres con redundancia, software y datos o tener centros de respaldo.

SAI: Protección contra picos y caída de tensión. No pérdida de información ni parar de trabajar.

RAID 0 (espacio), RAID 1 (espejo), RAID 5 (información se distribuye entre los discos para que se pueda recuperar).

Clúster de Servidores: Conjunto de equipos de alta velocidad que trabajan como uno solo.

DAS (los discos son almacenados en el servidor), NAS (los discos duros son almacenados en un dispositivo externo de pequeño almacenamiento al servidor llamado NAS), SAN (los discos están en un dispositivo exterior grande llamado cabina de discos y van conectados por fibra óptica).

Auditoría de Seguridad

Caja Negra: Rol atacante (no conoce red ni sistemas).

Caja Blanca: Rol de empleado con acceso parcial.

Caja Gris: Rol empleado con acceso mínimo.

Evaluación de Vulnerabilidades (Vulntest): El objetivo es identificar una versión vulnerable de una aplicación.

Prueba de Penetración (Pentest): El objetivo es realizar una auditoría de seguridad de alto nivel.

Pasos para un Ataque: Reconocimiento (información del objetivo), Escaneo (encontrar vulnerabilidades), Ganar acceso (usando un exploit), Mantener el acceso (abriendo una puerta trasera) y Borrar el rastro (borrando logs y caché).

Red Team: Simulan ataque a una empresa.

Blue Team: Defienden la empresa.

Purple Team: Punto medio.

Orden de más a menos de defensa: TTPs, herramientas, networks/host artifacts, Domain names, IP addresses y hash values.

Reconocimiento Pasivo

Whois: Obtener información de dominios e IPs registrados.

HACKERTARGET: Comprueba transferencias de zona (intenta conseguir todos los registros en DNSs de un dominio dado).

LINKEDIN SCRAPING: Obtener nombres y apellidos de usuarios.

SHODAN: Buscador de los hackers.

NETCRAFT EXTENSION: Informa sobre la integridad de un website.

ARCHIVE.ORG: Archivo enorme para recuperar contenidos digitales antiguos.

Backup

Full Backup: Copia de todo.

Differential Backup: Añadir, borrar o modificar el último full backup.

Incremental Backup: Añadir, borrar o modificar el último full o differential backup.

Estrategia 3-2-1: Hacer 3 copias, 2 de ellas en formato diferente y 1 de ellas guardarla en la nube.

Cintas: Pequeñas, alta capacidad, confiables pero lentas.

Pendrives (no recomendable): Fácil error y poca capacidad.

CDs (no recomendable): Fácil que se rallen y pocas escrituras.

HDD: Rápidos, buena capacidad, confiables y buen precio.

SSD: Caros, rápidos, poca capacidad y duración.

D2D2T (Disk to disk to tape), D2D2C (Disk to disk to cloud).

Comandos

Exiftool: Ver metadatos.

file: Te dice el tipo de fichero que es (.exe, .doc...).

strings: Te muestra las líneas de un fichero binario.

xxd: Manejar datos hexadecimales y binarios.

dd: Extraer líneas de un fichero (dd if=file1 of=file2 bs=1 skip=0).

Tipos de Ataques (Avanzados)

Ataques Activos: Interrupción, Modificación y Fabricación.

Ataques Pasivos: Intercepción.

APT (Advanced Persistent Threat): Ataque duradero para espiar a alguien con el objetivo de hacerse con sus sistemas.

SQLi (SQL Injection).

CSRF (Cross-Site Request Forgery): Atacante hace una petición como si fuese la víctima.

XSS (Cross-Site Scripting): El criminal entra a las líneas de código que serán ejecutadas en las páginas webs de los usuarios.

Seguridad Física y Lógica

Seguridad Física: Protección contra incendios, inundaciones, robos, señales electromagnéticas, apagones y desastres naturales.

Seguridad Lógica: Robos de contraseñas, pérdida de información, pérdida de integridad de información, entrada de malware, ataques desde la red.

Fases de Actuación: Prevención (antes), Detección (durante), Recuperación/Análisis Forense (después).

Amenazas a Sistemas Informáticos:

• Activo: Objeto valioso que sufre el daño (ej: servidor).
• Daño: Lo que sufre el activo (ej: incendio).
• Impacto: Lo que produce el daño (10h sin servicio).

CVSS: Clasificación de gravedad de vulnerabilidades.

CVE: Lista todas las vulnerabilidades.

0-day: Vulnerabilidades desconocidas.