Riesgos de ciberseguridad

Questions and Answers

¿Cuál de los siguientes factores NO contribuye a la presencia de vulnerabilidades en el software?

• La presión por lanzar rápidamente nuevas versiones al mercado.
• La rigurosa adherencia a metodologías de calidad de software como CMMI. (correct)
• La falta de entrenamiento en desarrollo seguro y concienciación en ciberseguridad.
• El uso de funciones de lenguajes de programación con fallos de seguridad.

¿Qué caracteriza principalmente a una vulnerabilidad de 'día cero'?

• No existe ninguna contramedida para reducir el riesgo que representa al ser descubierta. (correct)
• Es una vulnerabilidad presente en el software desde su creación.
• Existe un parche o código corrector disponible al momento de su descubrimiento.
• Es explotada únicamente por hackers experimentados.

Un desarrollador omite la validación de tipos de variables en su código. ¿Qué tipo de problema puede surgir directamente de esta omisión?

• Bucle infinito en la ejecución del programa.
• Reducción en el tamaño del archivo ejecutable.
• Mejora en el rendimiento del software.
• Vulnerabilidad explotable en el código fuente. (correct)

En el contexto de la seguridad del software, ¿qué implicación tiene la falta de gestión de excepciones en el código?

Impide la correcta identificación y corrección de errores, lo que puede llevar a vulnerabilidades. (D)

¿Cuál de las siguientes técnicas NO se menciona como un medio para llevar a cabo un ataque MitM (Man-in-the-Middle) en entornos WAN?

Ataque de denegación de servicio (DoS). (C)

¿Qué tipo de vulnerabilidad se explota directamente en un ataque de ARP spoofing en redes LAN Ethernet conmutadas?

La integridad de las tablas ARP. (A)

En un ataque de repetición (Reply Attack), ¿qué necesita el atacante para tener éxito?

Credenciales cifradas o huellas dactilares previamente obtenidas. (B)

¿Cuál es el objetivo principal de un ataque HTTP Response Splitting?

Redirigir al usuario a un sitio web malicioso. (A)

¿Qué tipo de información se ve comprometida como consecuencia final de un ataque MitM (Man-in-the-Middle), sin importar la técnica utilizada?

La confidencialidad de las comunicaciones no cifradas. (B)

En el contexto del ataque de repetición sobre sistemas Windows conocido como Hash Injection, ¿qué tipo de información se reutiliza para iniciar una sesión ilegal?

LM HASH y NT HASH. (A)

¿Cuál de las siguientes medidas NO ayuda a mitigar el riesgo de ataques de ARP spoofing en una red LAN?

Cifrar todas las comunicaciones de red. (C)

Considerando el ejemplo de manipulación en un ataque HTTP Response Splitting, ¿qué indica la secuencia \r\n en el 'input' manipulado?

El fin de la cabecera HTTP actual y el inicio de una nueva. (B)

¿Cuál de las siguientes NO es una característica principal de los virus stealth?

Replicarse a través de redes sin necesidad de un programa anfitrión. (D)

¿Cuál es la función principal del componente dropper en un troyano?

Asegurar que el código malicioso se ejecute de forma persistente en el sistema. (A)

¿Qué tipo de información es más probable que NO sea recolectada por un spyware?

Información meteorológica de la ubicación actual. (C)

Un keylogger es un tipo de spyware que se especializa en:

Registrar las pulsaciones de teclas del usuario. (C)

¿Qué técnica utilizan los virus de encriptación para evitar ser detectados por los antivirus?

Cifrar su propio código. (C)

¿Cuál de las siguientes rutas en sistemas Unix/Linux es menos probable que sea utilizada por un dropper para asegurar la persistencia de un troyano?

HKLM en el registro de Windows (C)

¿Cuál de las siguientes opciones describe con mayor precisión cómo un atacante realiza un ataque de Wireless cracking?

Obligando a los usuarios legítimos a desasociarse del punto de acceso para capturar el handshake de autenticación. (C)

¿Cómo podría un atacante llevar a cabo un ataque de DNS Spoofing para comprometer la resolución de nombres en Internet?

Suplantando la respuesta autoritativa del SOA e envenenando la caché de los STUB DNS Servers. (C)

¿En qué se diferencia principalmente un ataque de Phishing de otros tipos de ataques cibernéticos mencionados?

Phishing se dirige directamente a los usuarios finales mediante el uso de la ingeniería social, mientras que otros atacan sistemas o protocolos. (B)

¿Qué rol juega el IP Spoofing en un ataque de SYN FLOODING?

Impide que el servidor registre la dirección IP del atacante, dificultando la detección. (D)

¿Cuál de las siguientes herramientas es más adecuada para construir paquetes IP personalizados con direcciones falsificadas?

Scapy (D)

¿Qué implicaciones tiene un ataque de DNS Spoofing exitoso a gran escala, como el que afecta a un ISP?

Redirección masiva de usuarios a sitios web falsos controlados por el atacante, comprometiendo credenciales y datos. (B)

¿Cuál de las siguientes NO es una técnica comúnmente asociada con las campañas de Amenazas Persistentes Avanzadas (APT)?

Explotación directa de vulnerabilidades de hardware sin interacción del usuario. (C)

¿Cuál es el objetivo principal de las tareas de monitorización y ciberespionaje en las campañas APT?

Recopilar información sensible y estratégica de las organizaciones objetivo. (B)

¿Qué rol juegan el Pharming o DNS Spoofing en la materialización de un ataque que comprometa la confidencialidad de credenciales de acceso?

Se utilizan para afectar la resolución de nombres y redirigir al usuario a sitios web falsificados. (A)

En el contexto de las APTs, ¿qué distingue el 'Spear Phishing' de otras formas de ingeniería social?

Está dirigido a empleados específicos dentro de una organización. (D)

¿Cuál es la principal vulnerabilidad que explota el ransomware para afectar a las empresas, especialmente a las pequeñas y medianas?

La ausencia de políticas rigurosas de backup o copias de seguridad actualizadas de la información. (D)

Según la información proporcionada, ¿qué se puede concluir sobre la garantía de recuperar los datos tras pagar un rescate por un ataque de ransomware?

Pagar el rescate no garantiza la recuperación de los datos. (C)

Flashcards

Virus Stealth

Emplean técnicas de evasión para protegerse del antivirus.

Virus de Encriptación

Evitan la detección cifrando su código.

Gusanos Informáticos

Software malicioso que se propaga a través de la red sin necesidad de un anfitrión.

Troyanos

Malware diseñado para dar acceso encubierto al sistema.

Carrier (Troyano)

Componente de fachada que sirve de carnada para ejecutar el malware.

Payload (Troyano)

Rutinas de código malicioso que afectan los activos de la información.

Dropper (Troyano)

Componente que hace persistente al código malicioso.

Spyware

Malware para espiar actividades en el sistema comprometido.

Vulnerabilidades en el Código Fuente

Errores y omisiones en el código fuente que pueden ser explotadas.

Vulnerabilidades de Día Cero

Vulnerabilidades recién descubiertas sin contramedidas conocidas.

Función strcpy

Función en lenguaje C que no valida la cantidad de memoria requerida, causando desbordamiento del buffer.

Fase de Implementación y Desarrollo

Incluye la construcción de la aplicación a través del uso de funciones, métodos y procedimientos débiles del lenguaje de programación elegido en el proyecto.

Publicación de Parches

Proceso de encontrar y solucionar fallos en el software después de su lanzamiento.

Presión de Lanzamiento Rápido

Carrera contra el tiempo para lanzar nuevas versiones de aplicaciones al mercado.

"Bugs" en Aplicaciones

Errores como división por cero, bucles infinitos, y deadlocks.

Vulnerabilidades comercializadas

Son explotadas por hackers maliciosos con ánimo de lucro.

Ataque de inundación

Ataque que genera tráfico de uno o varios protocolos hacia hosts o equipos de comunicación.

MAC Flood

Envío masivo de tramas Ethernet con direcciones MAC aleatorias para llenar las tablas de conmutación de los switches.

Wireless cracking

Extracción del PassPhrase de protocolos de autenticación de redes WLAN (WEP, WPA).

IP y MAC Spoofing

Reemplazar o falsificar una dirección MAC o IP para ocultar la verdadera ubicación del atacante.

IP Spoofing

Actividad maliciosa que puede preceder a un ciberataque peligroso.

DNS spoofing

Ataque que compromete un host, un ISP o la resolución de nombres en Internet.

Técnicas de DNS Spoofing

Suplantar la respuesta autoritativa del SOA del dominio, envenenando la cache de los STUB DNS Servers.

Ataque de Phishing

Técnica de ingeniería social orientada al usuario final, apoyada en tecnología web.

Ataque Man-in-the-Middle (MitM)

Un ataque donde el atacante intercepta y altera la comunicación entre dos partes.

MitM en Entornos WAN

Alteración de tablas de enrutamiento o uso de proxies para realizar ataques MitM en WAN.

Consecuencias de MitM

Compromiso de credenciales, archivos y tráfico no cifrado debido a ataques MitM.

Ataque de Repetición (Reply Attack)

Reenvío de credenciales cifradas o 'huellas' interceptadas para autenticación ilegal.

Hash Injection

Ataque de repetición en Windows que usa LM HASH o NT HASH para iniciar sesión ilegal.

HTTP Response Splitting

Manipulación de campos de respuesta HTTP para redirigir usuarios a sitios maliciosos.

Ataque de Inundación (Flooding)

Un ataque que sobrecarga un sistema con tráfico para hacerlo inaccesible.

Expresión regular

Secuencia de caracteres que define un patrón de búsqueda.

Ransomware

Software malicioso que cifra los archivos de la víctima y exige un rescate para su recuperación.

Crecimiento del ransomware

El ransomware ha experimentado un incremento exponencial desde el segundo trimestre de 2014 hasta finales de 2016.

Principales víctimas del ransomware

Sectores corporativos medianos y pequeños sin copias de seguridad rigurosas.

Pagar el rescate (ransomware)

El pago no garantiza la recuperación.

McAfee Labs

Empresa especializada en la investigación y análisis de amenazas informáticas.

Coste de los rescates (ransomware)

Entre 100 y 20.000 euros, pero aumentando.

McAfee

Empresa de ciberseguridad que formaba parte de Intel.

¿Qué es un ataque que compromete credenciales usando sitios web falsos?

Ataque que requiere acciones previas como Pharming o DNS Spoofing para afectar la resolución de nombres y usar un sitio web falsificado.

¿Qué son las Amenazas Persistentes Avanzadas (APT)?

Campañas dirigidas a empresas y gobiernos con técnicas de hacking avanzadas y software espía.

¿Cómo se caracteriza una APT?

Uso de técnicas de hacking tradicionales con una estrategia clara, eficiencia, sofisticación y profesionalismo.

¿Qué herramientas utilizan las APT?

Software espía, botnets, y técnicas de ingeniería social, como el 'Spear Phishing'.

¿Cómo se propagan los componentes de malware de las APT?

Redes P2P, descarga de torrents y suplantación de sitios web.

¿Cuáles son algunos ejemplos de APT famosas?

ZEUS, Mariposa, GhostNet, Mumba, Stuxnet, Karbanac y Machete.

¿Qué tipo de tareas ejecutan las APT?

Tareas de monitorización y ciberespionaje.

¿Quiénes pueden ser los orquestadores de algunos ataques informáticos (según investigaciones)?

Gobiernos legítimos.

Study Notes

Riesgos de ciberseguridad en las empresas

• El artículo aborda los riesgos de seguridad en el siglo XXI con un enfoque descriptivo

• Se considera el riesgo a partir de la relevancia de los activos de información para las organizaciones

• El artículo describe los efectos de la tecnodependencia si no se protegen los recursos

• Se definen conceptos de riesgo, vulnerabilidades y amenazas, así como el impacto en las organizaciones

• Se relacionan las principales amenazas que afectan el riesgo en empresas de diferentes sectores

• Se recopila una relación de técnicas de los atacantes de sombrero negro para comprometer los activos de información digital

• Se reseñan las amenazas actuales, el estado del arte del riesgo y las tendencias del mercado identificadas a partir de fuentes de referencia

• Primero se explica los riesgos de seguridad a los que están expuestas las empresas

• Se justifica la importancia de la información para las organizaciones y las características que deben salvaguardarse

La Tecnodependencia

• Se describe la tecnodependencia y los efectos no deseados de la falta de monitorización
• Se explica por qué la tecnodependencia incrementa el riesgo para la información corporativa
• Se relaciona con el rol de sistemas distribuidos en la operación de servicios LAN e Internet
• Se describe el concepto de superficie de ataque y su relevancia

Componentes del riesgo y incidentes de seguridad

• Se relacionan los componentes del riesgo en términos de la probabilidad de incidentes de seguridad y el impacto para la empresa
• Se describen los riesgos de seguridad, el origen de las vulnerabilidades, y los tipos de vulnerabilidades

Amenazas y Ataques Informáticos

• Las principales amenazas involucradas en la materialización del riesgo, incidentes de seguridad y ataques

• Clasificación del malware y su evolución actual

• Ataques informáticos que podrían afectar la integridad, confidencialidad y disponibilidad de los activos

• Se incluyen el estado del arte de las ciberamenazas y las tendencias

• Se describen los vectores de propagación usados para comprometer la seguridad

• Finalmente, las conclusiones obtenidas, una propuesta de trabajo futuro, bibliografía y recursos usados

La información y las Organizaciones

• Toda organización está compuesta por procesos sinérgicos que se comunican a través del intercambio de información

• El éxito de la operación corporativa depende de la completitud, disponibilidad, integridad y calidad de la información

• Por lo tanto, la información es el activo más importante de toda empresa y esta debe hacer todo lo necesario para salvaguardarlo

• La seguridad de la información depende de que se garanticen sus principios fundamentales:

• Confidencialidad

• Integridad

• Disponibilidad

• No repudio

• Autenticidad

• Trazabilidad

• Las medidas de riesgo de la seguridad de la información, los controles a usar y su efectividad se miden en relación a estos principios

• Confidencialidad: la información sensible solo puede ser conocida por personal con privilegios asignados a sus cuentas de usuario

• Integridad: la información solo puede ser modificada por un proceso corporativo legítimo, durante un período de tiempo, desde un sitio autorizado

Disponibilidad, No Repudio y Trazabilidad

• Disponibilidad: garantía de que la información sensible de la organización estará accesible por el personal autorizado, cuando lo considere
• No Repudio: proporciona la “no renuncia” de la responsabilidad de los actores en una transacción de información y está estandarizado en la ISO-7498-2
• Trazabilidad: registro continuo de las acciones involucrando información, actores participantes, descripción de la acción, y marcas de tiempo para auditoría

Autenticación y la información

• Autenticación: Verifica la identidad y privilegios sobre los activos de información para facilitar la autenticidad de la información

• La información es la materia prima de las organizaciones en un mundo globalizado, donde los consumidores son más exigentes

• La tecnología reduce los tiempos de respuesta al cliente, expandiendo las fronteras del mercado

• La adopción de la computación e interconectividad a Internet expande el mercado corporativo y mejora la calidad de productos y servicios

• La tecnodependencia requiere gestionar un nuevo tipo de riesgo asociado con la seguridad de la información

La tecnología y las organizaciones

• El uso de tecnología reduce los costos, y hace más eficiente la operación corporativa

• Esto se puede evidenciar con el uso del E-commerce y el E-banking, que les dan a usuarios la posibilidad de comprar desde sus teléfono gracias a los sistemas distribuidos

• Muchas empresas son “tecno dependientes” y confían su negocio a la automatización, interconexión computacional y procesos en línea

• El uso de tecnología implica riesgos para la información digital, debido a vulnerabilidades en el software y hardware computacional

• La interconexión a la red de redes expande el mercado corporativo y expone a los activos de información a amenazas

Riesgos de Seguridad

• La gran mayoría de los componentes tecnológicos tienen vulnerabilidades que pueden nacer con el producto
• La mayor cantidad de vulnerabilidades se añaden al producto en la fase de implementación y desarrollo del software con funciones, métodos y procedimientos débiles
• El desarrollo de aplicaciones es una carrera contra el tiempo para lanzar nuevas versiones al mercado

Las vulnerabilidades

• La carrera contra reloj, malas prácticas de ingeniería de software, la ausencia o pobre adopción de metodologías de calidad, y falta de entrenamiento garantizan la presencia de “Bugs" en las aplicaciones
• Errores: división por cero, bucles infinitos, deadlocks, etc
• Omisiones: falta de gestión de excepciones y validación de variables y parámetros
• Estos hechos dan lugar a vulnerabilidades explotables en el código

Vulnerabilidades de día cero

• Estas vulnerabilidades que son llamadas “Vulnerabilidades de día cero” son recién descubiertas y no existe contramedida para reducir el riesgo
• Muchas de ellas son comercializadas en el mercado negro por hacker maliciosos, hasta que el fabricante desarrolla un parche
• En muchas situaciones las vulnerabilidades son el resultado del uso de funciones que tienen fallos de seguridad, pero aún son usadas por desarrolladores profesionales

El problema del software

• El problema se hace mayor con los desarrollos de software más grandes como los sistemas operativos, los cuales son soportados por un elevado número de librerías

• En muchas situaciones, los programadores solo conocen los nombre de las funciones, procedimientos o métodos y el tipo de parámetros que necesita

• Eso dificulta la detección de código débil que pueda representar alguna vulnerabilidad

• Además algunos lenguajes e incluso motores de Bases de datos incluyen funciones y procedimientos almacenados que podrían habilitarse para ejecutar comandos peligrosos

• Se adicionan vulnerabilidades en los procesos corporativos durante la configuración e integración de productos como resultado la aplicación de malas prácticas, muchas veces por falta de prácticas e incluso concienciación

• En julio de 2015 se evidenció la exposición de “600 TBytes de bases de datos expuestas por un fallo en la configuración del motor de bases de datos MongoDB” en versiones anteriores a la 2.4.14

• El uso de software ilegal impacta en su ciberseguridad, contiene malware que compromete los sistemas corporativos por la ausencia de políticas y controles de instalación de software

• El 25% del software ilegal es usado en sectores financieros, y el 26% de los empleados admitieron haber instalado software de fuera de la compañía

Malware

• Muchos de los incidentes informáticos se materializan a través del uso de Malware y en otras situaciones con el uso de Riskware Maleware es una herramienta de software automatizada para explotar vulnerabilidades de sistemas

• Es una amenaza automatizada para aprovechar las debilidades de la infraestructura tecnológica de las organizaciones con diversos fines, como:

• Actividades de espionaje y seguimiento

• Recolección de datos sensibles y robo de información

• Destrucción de la información/avería de los sistemas objetivo

• Manipulación y alteración de la información como ocurre con los crímenes financieros

• Uso de tiempo de CPU para actividades de generación de SPAM, o de malware

• La toma de control de la infraestructura tecnológica como ocurre con las botnets

• Una certificación de hacking ético, define que el software malicioso está formado por:

• Vector de infección/ propagación: Para propagarse, infectar ò distribuirse

• Payload: Porción de código que ejecuta la acción maliciosa como la destrucción de ficheros, la apertura de un puerto y el registro de acciones del usuario

• Otros productos también componente de malware

• dropper es el encargado de garantizar la propagación y persistencia del código

• Trigger ò bomba lógica: Ejecutar el payload en el momento en el que ocurra un evento como un click del usuario

• Muchos fabricantes antimalware han realizado clasificaciones de los productos malware

• A continuación se presenta una clasificación por familias considerando vectores de propagación comunes:

• Virus: Programas maliciosos que requieren de un fichero anfitrión para ocultar su código e infectar sistema

  • Cavity o viruses, incluyen su código dentro del área de memoria de otros archivos
  • Virus de Macro, Incluyen su código dentro de rutinas de hojas electrónicas y ofimática
  • Virus de camuflaje, Usan nombres y rutas de componentes del sistema operativo
  • De Sector de Arranque, ubica parte de su código en el sector de arranque del disco duro
  • Cluster viruses, altera la tabla de asignación de archivos del sistema de archivos
  • Stealth Viruses, emplean diversas de técnicas de evasión para protegerse del antivirus
  • Virus de Encripcion, que evitan la detección cifrando su código

• Gusanos: Software malicioso que no requiere de un anfitrión para su propagación. Se caracterizan por propagarse a través de la plataforma de red

Troyanos, Spayware y backdoors

• Troyanos: Malware diseñado para facilitarle al agresor acceso “cubierto" al sistema víctima

  • Carrier: componente de fachada para que la víctima ejecute el producto.
  • Payload: rutinas de código malicioso que afectan los activos de la información
  • Dropper: el componente de software encargado de hacer persistente al código maliciosos

• Spyware: Malware desarrollado para tareas de espionaje

  • Keylogger: software que registra el keystrokes [13] del usuario clandestinamente
  • Screenlogger: tipo de Spyware captura screenshots
  • Videologger: espía las actividades utilizando algoritmos de compresión

• Backdoors: Rutinas de código que al ejecutarse suben un proceso en la memoria RAM del ordenador victima que posee un módulo de comunicaciones

• Son utilizado para poder tener accceso al sistema comprometido

Rootkits y exploits

• Rootkits: Producto de Malware que compromete al sistema operativo a través del reemplazo componentes importantes

• Esto se puede realizar al suplantando llamadas e interrupciones al sistema (hooking)

• Deacuerdo al nel que operan pueden ser

  • Hypervisor level
  • Kernel Level
  • Aplication Level
  • Library level Interceptan y reemplazan las llamadas originales

• Spoofeadores: Software usado para falsificar mensajes

• Hijackers: Herramientas usadas para interceptar tráfico y

• Exploits: Son rutinas de código resultado de vulnerabilidades específicas usadas normalmente con "Buffer Overflow"

Description

Cuestionario generado con IA a partir del artículo Riesgos de Ciberseguridad en las Empresas de Enrique Javier Santiago y Jesús Sánchez Allende.