Untitled Quiz

Questions and Answers

¿Qué bit de código se utiliza en TCP para enviar datos fuera de banda?

• URG (correct)
• SYN
• FIN
• ACK

¿Cuál de las siguientes opciones describe mejor una vulnerabilidad relacionada con OOBD en TCP?

• Aumentar el consumo de frecuencia de transmisión.
• Reducir la velocidad del flujo de datos.
• Informar errores en la cabecera de paquetes.
• Causar efectos inesperados con datos OOBD reales. (correct)

¿Qué nivel de seguridad corresponde a la protección estructurada?

• B2 (correct)
• D
• A
• C1

¿Cuál de los siguientes sistemas operativos se considera NO seguro según su diseño?

Windows 3.x (D)

¿Qué método utilizan comúnmente los intrusos para atacar redes corporativas?

Uso de estaciones intermedias para ejecutar ataques. (C)

¿Qué acción puede facilitar el secuestro de terminales TCP?

Utilización de direcciones IP de confianza. (B)

¿Qué nivel de seguridad implica un diseño de seguridad verificado?

A (A)

¿Cuál de las siguientes opciones representa una amenaza en redes al utilizar cuentas legítimas?

Monitoreo de un segmento de red. (C)

¿Cuál es el propósito principal de la capacidad de explotación en ciberdefensa?

Ejecutar actividades para obtener información en el ciberespacio. (B)

¿Qué tipo de medios se pueden usar en la obtención de información en ciberdefensa?

Medios intrusivos y no intrusivos. (C)

En el marco de la ciberdefensa, ¿cómo se define la capacidad de ataque?

Como iniciativas defensivas o ofensivas orientadas a ciberataques. (C)

¿Cuál de las siguientes acciones se puede realizar con la capacidad de ataque según la ciberdefensa?

Identificar vulnerabilidades en las redes propias. (C)

¿Qué caracteriza a las acciones de obtención no intrusivas en la ciberdefensa?

Extraen información generalmente pública o accesible sin vulnerar sistemas. (A)

¿Qué implica realizar una acción de ataque defensivo en ciberdefensa?

Actuar de manera oportuna frente a un ataque que afecte a la Defensa Nacional. (B)

¿Cuál es una de las maneras de incrementar la defensa según la capacidad de ataque?

Emplear acciones de cyber red team para identificar vulnerabilidades. (B)

¿Qué tipo de acceso se permite según el marco legal en la ciberdefensa?

Acceso a redes adversarias siempre que haya justificación. (C)

¿Cuál es la finalidad del servicio de No Repudio?

Impedir que un usuario pueda demostrar la realización de una acción. (A)

En el contexto de los criptosistemas de clave secreta, ¿qué se requiere para los pares de usuarios?

Cada par debe tener una clave secreta y simétrica compartida. (D)

¿Cuál de las siguientes afirmaciones es correcta respecto a las claves en la criptografía de clave pública?

Ambas claves son relacionadas entre sí. (C)

¿Qué alternativa del servicio de No Repudio implica que el receptor obtiene pruebas de la fecha y hora de un mensaje enviado?

Prueba de envío. (A)

¿Qué característico de los criptosistemas simétricos hace que sean sencillos de implementar?

Emplean la misma clave en el origen y en el destino. (D)

¿Qué implica el concepto de prueba de entrega en el contexto del No Repudio?

El emisor prueba que el mensaje ha sido entregado al receptor adecuado. (B)

¿Cuál es la principal desventaja de los criptosistemas simétricos en situaciones que exigen alta seguridad?

La misma clave es un riesgo si se necesita compartirla. (A)

¿Qué función primaria cumplen las autoridades de certificación en el No Repudio?

Actuar como intermediarios de confianza. (B)

¿Cuál es el objetivo principal del TCP Hijacking?

Apoderarse de una conexión TCP para ejecutar comandos no deseados. (B)

¿Qué tipo de herramientas se mencionan para llevar a cabo un ataque de TCP hijacking?

JUGGERNAUT, HUNT, ARGUS. (A)

¿Cuál es una característica necesaria para realizar un ataque de TCP hijacking?

La conexión TCP ya debe estar establecida. (B)

¿Qué tipo de ataque implica la manipulación de rutas de paquetes?

Man-in-the-middle. (A)

¿Qué técnica usan los intrusos para redirigir paquetes hacia un destino controlado?

Utilizar Source Routing. (C)

¿Cuál es el principal riesgo de ataques sobre el servicio DNS?

Alteración de la resolución de nombres. (A)

En qué tipo de servicios, además de TELNET, también se puede llevar a cabo un ataque de TCP hijacking?

Cualquier servicio que use TCP. (D)

Al realizar un ataque de TCP SYN flooding, ¿qué debe ocurrir primero?

El puerto del cliente debe estar bloqueado. (A)

¿Cuál de las siguientes opciones describe una vulnerabilidad relacionada con los servicios innecesarios?

La ejecución de servicios no utilizados, como WWW o FTP. (C)

¿Cuál es el principal riesgo asociado con contraseñas débiles en una red corporativa?

Compromiso de la seguridad de los servidores. (A)

¿Cómo pueden comprometerse las redes corporativas debido a privilegios excesivos?

Por la baja de empleados sin bloqueo de cuentas. (B)

¿Qué configuración de servidores de Internet puede ser particularmente insegura?

Configuraciones de servidores FTP anónimos. (B)

¿Cuál es un aspecto crítico a considerar al utilizar un firewall en la seguridad de la red?

Debe estar correctamente configurado para prevenir accesos no autorizados. (A)

¿Qué recomendación se hace respecto a la instalación de servicios en servidores?

Limitar la instalación a servicios necesarios para reducir la superficie de ataque. (B)

¿Cuál es una consecuencia de no bloquear cuentas de usuario que ya no son útiles?

Riesgo de acceso no autorizado a información crítica. (C)

¿Qué se considera una buena práctica para la gestión de contraseñas en una organización?

Crear políticas de seguridad homogéneas sobre contraseñas. (A)

¿Cuál es la función principal de un Sistema de Prevención de Intrusos (IPS)?

Monitorear y reaccionar ante comportamientos maliciosos en tiempo real. (D)

¿Qué tipo de IPS utiliza una base de datos de patrones conocidos para la detección de ataques?

IPS basado en firmas. (A)

¿Cómo se clasifica un IPS basado en su tecnología de implementación?

Por su método de detección. (A)

¿Cuál es la diferencia clave entre un IPS basado en firmas y uno basado en anomalías?

El primero busca patrones conocidos y el segundo identifica comportamientos divergentes. (D)

Un IPS puede reaccionar ante un comportamiento malicioso. ¿Qué se entiende por esto?

Tomar acciones de contingencia para bloquear actividades indebidas. (A)

¿Qué tipo de análisis realiza un IPS basado en Análisis de Protocolo?

Inspecciones profundas y flexibles en los paquetes. (C)

En comparación con el firewall y el IDS, ¿qué característica define mejor a un IPS?

Monitorea y reacciona en tiempo real. (A)

¿Cuál de los siguientes métodos de detección no es típico de un IPS?

Detección de brechas de seguridad humanas. (B)

Flashcards

Detección y reacción en ciberseguridad

Acciones para identificar y responder a intrusiones, alteraciones, interrupciones o acciones no autorizadas en redes y sistemas propios, protegiendo la información.

Capacidad de explotación (ciberespacial)

Conjunto de sistemas que permiten obtener información en el ciberespacio, incluyendo las redes y sistemas de adversarios, sin violar medidas de seguridad o vulnerándolas legalmente.

Capacidad de ataque (ciberespacial)

Sistemas que ejecutan acciones ofensivas en respuesta a ataques o para alcanzar objetivos militares, respetando el marco legal y la doctrina establecida.

Ciberataque

Acciones ofensivas en el ciberespacio dirigidas a obtener un objetivo. Pueden ser defensivas frente a un ataque o ofensivas para alcanzar un fin.

Medios no intrusivos (ciberespacial)

Métodos para obtener información pública

Medios intrusivos (ciberespacial)

Métodos que permiten acceder a sistemas, redes o equipos del adversario, vulnerando o eludiendo las protecciones.

Listas ACL

Listas de control de acceso que controlan el acceso a redes y routers.

Filtrado de direcciones IP

Técnica para controlar el tráfico de datos basado en las direcciones IP.

No Repudio

Servicio que impide que un usuario niegue una acción realizada.

Autoridades de Certificación

Terceras partes confiables que apoyan el servicio de no repudio.

Prueba de origen

Prueba que el receptor puede usar para verificar el origen del mensaje.

Prueba de envío

Pruebas sobre la fecha y hora de envío de un mensaje.

Prueba de entrega

Prueba que el emisor tiene de que el receptor recibió el mensaje.

Criptosistemas de clave secreta

Sistemas de cifrado que usan la misma clave para cifrar y descifrar.

Criptosistemas simétricos

El mismo nombre que los anteriores.

Clave pública

Una de las dos claves en los criptosistemas de clave pública.

Clave privada

La otra clave en los criptosistemas de clave pública, conocida solo por el usuario.

Criptosistemas de clave pública

Sistemas que utilizan dos claves (pública y privada) para cifrar y descifrar.

Datos fuera de banda (TCP)

Información enviada por TCP, que no forma parte del flujo normal de datos y no consume ancho de banda.

TCP Hijacking

Ataque que toma el control de una sesión TCP establecida para ejecutar comandos no autorizados. El atacante aprovecha una conexión TCP existente.

Bit URG (TCP)

Bit de código en TCP que indica que los datos siguientes son urgentes.

Requerimientos de TCP Hijacking

Para llevar a cabo un TCP Hijacking, se necesita una conexión TCP establecida y la capacidad de monitorear los paquetes en un medio compartido.

Herramientas para TCP Hijacking

Existen herramientas como JUGGERNAUT, HUNT y ARGUS que se utilizan para realizar este tipo de ataque.

Urgent Pointer (TCP)

Campo en la cabecera TCP que señala la ubicación de los datos urgentes.

Ataques OOB (TCP)

Ataques que aprovechan datos fuera de banda para causar efectos no deseados o errores.

Debilidad TCP

El ataque se aprovecha de la implementación de seguridad de TCP, mediante la escucha de paquetes, desincronización de números de secuencia y la introducción de paquetes con comandos propios.

Sistemas operativos inseguros

Sistemas operativos sin la robustez adecuada para redes corporativas o servidores.

Ataques sobre encaminamiento

Ataques que modifican las rutas de los paquetes para cambiar el destino.

Man-in-the-middle (MITM)

Tipo de ataque donde el atacante se coloca entre dos partes de una comunicación para interceptar o modificar los datos.

Niveles de seguridad (Libro Naranja)

Categorías de protección en un sistema, desde mínima (D) hasta diseño verificado (A).

Ataques indirectos

Ataques que utilizan estaciones intermedias para acceder a la red objetivo.

Ataques DNS

Ataques que buscan alterar la resolución de nombres de dominio, impidiendo que los usuarios lleguen al sitio web objetivo.

Source Routing

Técnica utilizada en ataques de encaminamiento donde el intruso especifica la ruta que deben seguir los paquetes.

Estaciones intermedias

Equipos o cuentas de usuarios que se utilizan como punto de entrada para ataques a la red objetivo.

Cuentas legítimas comprometidas

Cuentas de usuario válidas que son explotadas para acceder a sistemas o redes.

Objetivo de TCP Hijacking

El principal objetivo del secuestro TCP es apropiarse de una conexión TCP y una sesión Telnet para realizar acciones no deseadas por el propietario original.

Direcciones IP de confianza

Direcciones IP que se consideran fiables y que aprovechan esta confianza para realizar ataques.

Servicios innecesarios

Ejecutar servicios no utilizados expone al sistema a vulnerabilidades.

Contraseñas débiles

Contraseñas fáciles de adivinar o reutilizadas comprometen la seguridad.

Privilegios excesivos

Cuentas con permisos amplios crean puntos débiles en la red.

Servidores de Internet mal configurados

Servidores WWW con scripts CGI y servidores FTP anónimos pueden ser inseguros si no se configuran apropiadamente.

Firewall mal configurado

Un firewall o ACL mal configurado facilita el acceso no autorizado a la red.

Sistema de Prevención de Intrusos (IPS)

Dispositivo de seguridad para redes que monitorea actividades de la red (capas 3 y 7) para identificar comportamientos maliciosos y reaccionar en tiempo real.

IPS Basado en Firmas

IPS que identifica ataques conocidos comparando patrones de ataques almacenados en una base de datos.

IPS Basado en Anomalías

IPS que detecta comportamientos inusuales en la red, diferentes de patrones predefinidos como normales.

IPS Basado en Análisis de Protocolo

IPS que realiza inspecciones profundas de paquetes para identificar ataques, con mayor flexibilidad.

Control de acceso

Mecanismo para determinar qué usuarios o sistemas pueden acceder a datos o recursos específicos, crucial para la seguridad.

Toma de decisiones (seguridad)

Proceso de elegir la respuesta correcta al detectar una actividad sospechosa, como bloqueos o alertas.

Capa 3 (red)

Nivel de la red que incluye las direcciones IP y protocolos de comunicación.

Capa 7 (aplicación)

Nivel en el modelo OSI que gestiona la interacción entre aplicaciones de software en red.

Study Notes

Introducción a la Ciberdefensa

• La ciberdefensa se lleva a cabo tanto en espacios tradicionales (tierra, mar, aire) como en los espacios virtuales (cognitivo y ciberespacial).
• La hiperconexión, globalidad y el desarrollo tecnológico en la comunicación social conforman un espacio intangible, de importancia primordial en la toma de decisiones y la percepción de la realidad por las personas.
• Los ámbitos de operación incluyen aeroespacial, marítimo y terrestre.
• La publicación doctrinal española PDC-01 define el ciberespacio como un ámbito de las operaciones militares, transversal a los demás (terrestre, marítimo, aeroespacial y cognitivo), con repercusión directa.
• El ciberespacio está compuesto por infraestructura, redes, sistemas de información y telecomunicaciones.
• Las acciones en el ciberespacio pueden alcanzar los niveles estratégico, operacional y táctico, comprometiendo sistemas y redes.
• El propósito del ciberespacio es el de proteger, obtener información, y hacer ataques a infraestructuras o servicios críticos de la nación.

Terminología de Ciberseguridad vs. Ciberdefensa

• La ciberseguridad es un conjunto de herramientas, salvaguardas y conceptos de seguridad que protegen los activos de la organización.
• La ciberdefensa es un conjunto de capacidades de defensa, explotación y ataque que se realizan en el ciberespacio y en otros ámbitos físicos, con la finalidad de preservar o ganar libertad de acción e imponerse al adversario.

Capacidades de la Ciberdefensa

• Capacidad de Defensa: Conjunto de sistemas que operan bajo unos principios para la ejecución y mantenimiento de acciones y actividades orientadas a la protección y defensa permanente de las redes, sistemas de información, telecomunicaciones y otros.
• Capacidad de Explotación: Conjunto de sistemas que operan con principios doctrinales para la obtención de información en el ciberespacio, incluyendo las redes y sistemas de posibles adversarios o actores hostiles (propias y de terceros).
• Capacidad de Ataque: Conjunto de sistemas que operan bajo unos principios doctrinales para la realización de ciberataques, así como la respuesta frente a un ataque.

Operaciones en el Ciberespacio

• Operaciones de Infraestructura: Operaciones asociadas a la seguridad de las infraestructuras de información y comunicaciones.
• Operaciones defensivas: Actividad de protección, seguridad y recuperación frente a ciberataques.
• Operaciones de Inteligencia de Seguridad (ISR): Actividad que obtiene información sobre el área de interés.
• Operaciones ofensivas: Actividad de ciberataque.

Concepto CEМА

• Las acciones de operaciones "EW" y en el ciberespacio están cada vez más relacionadas al utilizar el espectro electromagnético para sus operaciones.
• Las operaciones en el ciberespacio necesitan una infraestructura de redes, tecnologías y de sistemas de información y telecomunicaciones.
• Las operaciones "EW" (guerra electrónica) pueden obstaculizar y, en algunos casos, impedir el flujo de señal.

Centros y Equipos de Ciberdefensa

• Nivel 1: Mantener el funcionamiento de los recursos y sistemas de explotación
• Nivel 2: Supervisión centralizada de la seguridad de sistemas y redes
• Nivel 3: Coordinación y apoyo a la respuesta a incidentes de seguridad en los medios CIS nacionales y de la OTAN/UE

Roles y Responsabilidades Nacionales

• El Comandante de las Fuerzas de Ciberdefensa dirige las operaciones con los Centros de Operaciones de Seguridad (COS).
• El Responsable de cada Sistema (RSIS) coopera estrechamente con el Mando Operativo (MOC).
• El objetivo es asegurar la libertad de acción de las Fuerzas Armadas en el ciberespacio para lograr la supervivencia de los elementos físicos, lógicos y virtuales.

Sistemas Criptográficos

• Los mecanismos de seguridad se apoyan principalmente en la utilización de técnicas criptográficas, que soportan la correcta prestación de los diferentes servicios de seguridad.
• La criptografía es el arte y la ciencia de mantener seguros los mensajes sobre canales inseguros.
• Los servicios de seguridad incluyen autenticación, confidencialidad, integridad, control de acceso y no repudio.

Sistemas Criptográficos: Servicios de Autenticación

• El servicio de autenticación garantiza que una entidad comunicante es quien dice ser, usando certificados o login/contrasenas.
• Existen dos tipos de autenticación: simple y mutua.

Sistemas Criptográficos: Cifrados y Claves

• Los criptosistemas de clave secreta se denominan simétricos porque usan la misma clave para cifrar y descifrar.
• Los criptosistemas de clave pública usan dos claves: una pública para todos y una privada para el usuario.

Encriptación

• Se emplea para proteger los datos para que no sean revelados accidental o deliberadamente a usuarios no autorizados.
• Las técnicas criptográficas protegen la información, fundamentalmente en sistemas telemáticos y redes corporativas.

Funciones Hash y Firma Digital

• Los algoritmos utilizados en funciones hash deben ser consistentes, aleatorios y únicos, proporcionando el mismo resumen para el mismo mensaje.

Tipos de Ciberataques y Amenazas en la Red

• Las diferentes vulnerabilidades se clasifican en: Acceso físico, errores software, sistemas operativos inseguros, malas configuraciones, vulnerabilidades en las comunicaciones y acceso a equipos intermedios.
• Los ataques gubernamentales y militares tienen como objetivo obtener información estratégica.
• Los ciberataques por negación de servicio (DoS) sobrecargan los recursos de un sistema, impidiendo su funcionamiento.

Ataques sobre el Encaminamiento

• Los ataques sobre encaminamiento alteran las rutas de los paquetes para llegar a su destino.
• El "Man-in-the-middle" intercepta comunicaciones entre dos entidades.

Ataques sobre el Servicio DNS

• Los ataques sobre DNS alteran la resolución de nombres, resultando en la imposibilidad de encontrar los servidores.
• Los intrusos usan diferentes medios para comunicarse con la máquina propia (túneles cifrados, UDP como transporte, o ICMP como transporte).
• Los firewalls permiten la comunicación entre redes, pero no evitan totalmente todos los ciberataques.

Firewalls o Cortafuegos

• Los firewalls son tecnologías de seguridad que se utilizan para proteger los dispositivos en una red, creando una "pared de contención".
• Hay diferentes tipos de firewalls, como por ejemplo, el firewall apantallado con host bastión único, o el firewall apantallado con host bastión de doble puerto.

Arquitectura DMZ (Zona Desmilitarizada)

• En una arquitectura DMZ, los servicios públicos de internet se separan físicamente de la red interna para proteger la red de la empresa.
• Esta separación ayuda a aislar los servicios que pueden estar expuestos a ser atacados de la red interna, protegiendo a los equipos conectados a ella.

Sistemas de Detección y Prevención de intrusos (IDS/IPS)

• Los IDS/IPS son sistemas que detectan y previenen intrusiones.
• Los IDS son sistemas reactivos que analizan el tráfico en tiempo real, mientras que los IPS son proactivos y bloquean ataques detectados.
• La diferencia principal, radica en la capacidad reactiva vs proactiva.