Tipos de malware y ataques a redes: conceptos clave y medidas de seguridad

Tipos de malware

Virus

Virus: es un código ejecutable malintencionado que se adjunta a otros archivos ejecutables, generalmente programas legítimos. Un virus necesita la intervención del usuario para ejecutarse por primera vez e iniciar su infección.

Gusanos (worms)

Gusanos (worms): son códigos maliciosos que aprovechan vulnerabilidades del sistema operativo (denominados vectores de infección o vectores de ataque) para entrar en un sistema, instalarse en él y autoejecutarse. Los gusanos, por lo general, ralentizan las redes.

Puerta trasera / Backdoor

Puerta trasera o backdoor: es un método para iniciar sesión en un sistema eludiendo el proceso de autenticación.

Drive-by downloads

Drive-by downloads: descarga no deseada.

Adware

Adware: aparición descontrolada de ventanas de publicidad.

Software hijacker (secuestrador)

Software hijacker (secuestrador): se modifica la configuración del navegador para cambiar su página de inicio, mostrar publicidad, etc.

Phishing

Phishing: hace referencia a páginas web que suplantan a las verdaderas para que el usuario desprevenido introduzca información sensible.

Pharming

Pharming: altera el funcionamiento del DNS para redirigir el dominio de una o varias webs a otra maliciosa. Tanto el phishing como el pharming son técnicas adoptadas por los hijackers (secuestradores de webs).

Troyano (caballo de Troya)

Troyano o caballo de Troya: es un programa malicioso escondido dentro de un software aparentemente inocuo, que invita a ser ejecutado por parte del usuario. La diferencia entre troyano y virus es que un virus es una porción de código que se adhiere a un software legítimo, infectándolo.

Rootkit

Rootkit: es el código utilizado por los atacantes para elevar privilegios a usuario administrador. Una versión de rootkit denominada bootkit infecta el sector de arranque del equipo (MBR, Master Boot Record), lo que lo hace más peligroso y más difícil de detectar.

Keylogger

Keylogger: es un tipo de malware que registra las pulsaciones de teclado del usuario en busca de patrones repetidos, que por tanto podrían ser contraseñas o números de tarjetas de crédito, y envía esa información al creador del malware.

Stealers

Stealers se encargan de transmitir al delincuente todas las contraseñas que se encuentran en los repositorios (por ejemplo, si hacemos uso del autorrelleno de formularios).

Spyware

Spyware se dedica a recopilar información sobre las actividades del usuario, como el historial de navegación.

Ransomware

Ransomware (del inglés ransom, 'rescate'): este malware es uno de los más peligrosos por los efectos que provoca. Suelen infectar equipos a través de puertas traseras o como troyanos y, una vez dentro, se emplean a fondo en la encriptación de todos los ficheros que puedan contener información útil.

Hardening

Hardening: endurecimiento o fortalecimiento del hardware y del software.

Ataques a redes

Obtención de contraseñas o credenciales mediante suplantación de SSID

● Los ataques Man in the Middle tienen diferentes modalidades según la técnica empleada. Se basan en interceptar la comunicación entre dos o más interlocutores.

● En una red Wi‑Fi, un atacante puede montar un punto de acceso con el mismo SSID que la red que intenta atacar. Desde ese mismo momento, cualquier usuario puede, sin saberlo, estar conectando con el punto de acceso furtivo (rogue access point).

● Por este motivo debemos evitar conectarnos a redes Wi‑Fi abiertas (las que podemos encontrar en cafeterías, hoteles, aeropuertos, centros comerciales, vecindarios, etc.) y, en caso de conexión, utilizar una red privada virtual o VPN.

Denegación de servicio

● Existen dos técnicas de este tipo de ataques: la denegación de servicio o DoS (Denial of Service) y la denegación de servicio distribuido o DDoS (Distributed Denial of Service). La diferencia entre ambos es el número de ordenadores o IPs que realizan el ataque.

● En redes Wi‑Fi hay muchas variantes: por ejemplo, emitir una señal que interfiera el canal que utiliza nuestra red inalámbrica (denominada ruido); emitir paquetes de autenticación de cliente falsos; emitir una ingente cantidad de paquetes de solicitud de ingreso, sobrecargándolo y disminuyendo su rendimiento.

Secuestro de sesión

● Por ejemplo, cuando un usuario legítimo, conectado a una Wi‑Fi, navega a páginas web donde inicia una sesión aportando sus credenciales, estas credenciales pueden ser capturadas por un atacante y utilizarlas posteriormente para suplantar al usuario en dicha web.

● La mejor medida de seguridad es que los usuarios nunca introduzcan sus datos comprometidos en páginas web HTTP y solo lo hagan en páginas HTTPS. Pero, incluso en estos casos, muchas veces la contraseña viaja en una cookie sin cifrar.

ACL (Access Control List)

● Las ACL (Access Control List) o lista de control de acceso tiene un objetivo similar al de un cortafuegos, ya que su tarea consiste en filtrar el tráfico que pasa por un dispositivo de capa 3.

● Permiten controlar el flujo del tráfico: por ejemplo, pueden restringir la entrega de actualizaciones de routing para asegurar que las actualizaciones provienen de un origen conocido.

● Las ACL filtran a los host para permitirles o denegarles el acceso a los servicios: por ejemplo, denegar o permitir acceso a FTP o HTTP.

● Proporcionan un nivel básico de seguridad en la red: las ACL pueden permitir que un host acceda a una parte de la red y evitar que otro host acceda a la misma área.

● Las ACL estándar filtran sólo en la Capa 3. Las ACL extendidas filtran en las capas 3 y 4.

● ACL estándar, donde solo tenemos que especificar una dirección de origen.

● ACL extendida, en cuya sintaxis aparece el protocolo y una dirección de origen y de destino.

● ACL con nombre, permite dar nombres en vez de números a las ACL estándar o extendidas.

Las ACL número 1 a 99, o 1300 a 1999 son ACL estándar, mientras que las ACL número 100 a 199, o 2000 a 2699 son ACL extendidas.

Sintaxis y ejemplos de configuración:

(config)#access-list n {permit | deny} source {source-wildcard}

(config)#access-list 1 deny 10.5.3.0 0.0.0.255

(config)#access-list 1 permit host 10.5.3.37

(config)#access-list 1 permit any

(config)#access-list n {permit | deny} protocol source {source-wildcard} destination {destination-wildcard} [operator {destination-port}]

(config)#access-list 105 permit 10.5.4.0 0.0.0.255 host 10.5.64.30 eq 80

(config)#access-list 105 permit host 10.5.3.37 10.5.64.0 0.0.63.255

(config)#access-list 105 deny 10.5.3.0 0.0.0.255 any

● Se puede tener una lista de acceso por protocolo, por dirección y por interfaz.

● No se puede tener dos listas de acceso a la dirección entrante de una interfaz.

● Se puede tener una lista de acceso de entrada y una de salida aplicada a una interfaz.