Seguridad Activa PDF

Summary

Este documento proporciona información sobre seguridad activa, diferentes tipos de malware y medidas de protección. También cubre temas como la seguridad en redes cableadas e inalámbricas.

Full Transcript

SEGURIDAD ACTIVA

1
Índice

1. Introducción
2. Tipos de malware
3. Software de seguridad
4. Esteganografía
5. Botnet
6. Spam
7. Honeypots
8. Actualizaciones del sistema y de las aplicaciones
9. Hardening
10. Seguridad de redes cableadas
11. Usos de las VLAN
12. Mitigación de ataques VLAN
13. Seguridad de redes inalámbricas
14. Ataques a redes
15. Monitorización del tráfico de red
2
Introducción

La seguridad activa implica la intervención del usuario del equipo (o del
administrador del sistema) en el día a día.
Si un servidor es atacado, el daño producido siempre será mayor al ocasionado en
un equipo de sobremesa; pero no por ser ataques diferentes, sino por la
información que alojan o a la que pueden acceder los servidores comparada con
la que obtienen o pueden alcanzar los equipos de sobremesa.
En una red local, normalmente los equipos de sobremesa están protegidos del
exterior, mientras que los servidores están más expuestos, pues es necesario abrir
un acceso a ellos desde internet, el cual puede ser utilizado para lanzarles
ataques. De ahí la importancia de la seguridad perimetral, que trataremos en otro
tema.
En este tema nos centraremos en las medidas de seguridad activa que pueden
servirnos tanto en equipos personales como en entornos de red ante diversas
amenazas, principalmente el malware.
3
Malware

Malware, software maligno y software malicioso son términos equivalentes.

El malware es un software que se instala en un sistema informático sin el
conocimiento del usuario y se ejecuta sin su autorización. La inmensa mayoría
del malware se aprovecha de vulnerabilidades en el software, las tres
medidas imprescindibles para luchar contra él son:

Usar siempre software legal. El software pirata puede contener malware.
Actualizar siempre y con presteza el software, empezando por el sistema
operativo.
Instalar un software antivirus. Este tipo de aplicación monitorea
constantemente la memoria y los ficheros que se abren en busca de
trazas conocidas del malware.
4
Tipos de malware

Malware infeccioso: virus y gusanos
Puerta trasera
Drive-by downloads, adware, hijackers, phishing y pharming
Troyanos
Rootkits y bootkits
Keyloggers, stealers y spyware
Ransomware

5
Malware infeccioso: virus y gusanos

Virus: es un código ejecutable malintencionado que se adjunta a otros archivos
ejecutables, generalmente programas legítimos. Un virus necesita la intervención
del usuario para ejecutarse por primera vez e iniciar su infección.

Gusanos (worms): son códigos maliciosos que aprovechan vulnerabilidades del
sistema operativo (denominados vectores de infección o vectores de ataque)
para entrar en un sistema, instalarse en él y autoejecutarse. Los gusanos, por lo
general, ralentizan las redes.

Los virus requieren la ejecución de un programa del host, los gusanos pueden
ejecutarse por sí mismos.

6
Puerta trasera o backdoor

Una puerta trasera o backdoor es un método para
iniciar sesión en un sistema eludiendo el proceso de
autenticación.

El backdoor es instalado por otro malware (virus,
gusano…) que ya ha conseguido entrar al sistema y,
Un servidor controlador puede
normalmente, se autoelimina una vez conseguida la
manipular decenas de equipos
instalación y ejecución del backdoor. Dicho proceso
zombis en lo que se denomina una
permanece oculto esperando una conexión desde el
botnet; estas suelen utilizarse para
exterior (algún un servidor controlador) con distintos
envío de spam o realizar ataques
fines: robar datos, realizar actividades delictivas, etc.
DoS hacia otras organizaciones.

7
Drive-by downloads, Adware, hijackers, phishing y pharming

Drive-by downloads: descarga no deseada.
Adware: aparición descontrolada de ventanas
de publicidad.
Software hijacker (secuestrador): se modifica la
configuración del navegador para cambiar su
página de inicio, mostrar publicidad, etc.
Phishing: hace referencia a páginas web que
suplantan a las verdaderas para que el usuario
desprevenido introduzca información sensible.
Pharming: altera el funcionamiento del DNS
para redirigir el dominio de una o varias webs a
otra maliciosa. Tanto el phishing como el
pharming son técnicas adoptadas por los
hijackers (secuestradores de webs).
8
Drive-by downloads, Adware, hijackers, phishing y pharming

El software antivirus suele “vigilar” las URL que visita el usuario y le
advierte en caso de que el sitio visitado sea malicioso o sospechoso de
serlo.

Las empresas pueden instalar un sistema proxy para vigilar las páginas
web a las que navegan sus empleados por motivos de seguridad.

Otra medida de seguridad es la utilización de un servidor DNS que filtre
los dominios a los que se permita la conexión. El mejor ejemplo de este
servicio lo representa OpenDNS.

9
Troyanos

Troyano o caballo de troya es un programa malicioso escondido dentro de
un software aparentemente inocuo, que invita a ser ejecutado por parte del
usuario. El término proviene de la Odisea de Homero.
La diferencia entre troyano y virus es que un virus es una porción de código
que se adhiere a un software legítimo, infectándolo.
Un troyano es un programa que se supone que va a realizar una tarea pero
realmente su intención oculta es maligna. ¡Cuidado con los programas
gratuitos de descargas!

10
Rootkits y bootkits

Un rootkit es el código utilizado por los atacantes para elevar
privilegios a usuario administrador.
Una versión de rootkit denominada bootkit infecta el sector de
arranque del equipo (MBR, Master Boot Record) lo que lo hace más
peligroso y más difícil de detectar.
En respuesta a este problema, 140 compañías tecnológicas diseñaron
una nueva BIOS, llamada UEFI (Unified Extensible Firmware Interface)
con varias características adicionales, entre las que se encuentra el
modo de arranque llamado Secure Boot, que evita el inicio de un
sistema operativo sin firma digital.

11
Keyloggers, stealers y spyware

Un keylogger es un tipo de malware que registra las
pulsaciones de teclado del usuario en busca de patrones
repetidos, que por tanto podrían ser contraseñas o
números de tarjetas de crédito y envía esa información al
creador del malware. Las webs de muchos bancos
muestran un teclado en pantalla, para que el usuario
especifique su contraseña mediante clicks de ratón en
lugar de tecleando; es una medida de seguridad ante los
keyloggers.

Los stealers se encargan de transmitir al delincuente todas las contraseñas que se
encuentran en los repositorios (por ejemplo si hacemos uso del autorrelleno de
formularios).

Los spyware se dedican a recopilar información sobre las actividades del usuario
como el historial de navegación.
12
Ransomware

Ransomware (del inglés ransom, ‘rescate’): este malware es el más peligroso de
todos por los efectos que provoca. Suelen infectar equipos a través de puertas
traseras o como troyanos y una vez dentro se emplean a fondo en la encriptación
de todos los ficheros que puedan contener información útil. Utilizan un algoritmo de
cifrado avanzado imposible de romper sin conocer la contraseña.

La única opción para recuperarse de un ataque de ransomware es la restauración
de los datos desde una copia de seguridad, previa desinfección del equipo.

Nunca se debe pagar el rescate por dos motivos:
Fomenta que el delincuente continúe usando este método para extorsionar a
otras personas.
Nadie nos puede asegurar que tras el pago vayamos a obtener el software y la
contraseña de descifrado,

13
Software de seguridad

Lo que siempre se ha conocido como software antivirus ahora se suele denominar
software de seguridad.

Tareas que realiza el software de seguridad:
Utiliza una base de datos donde el fabricante almacena descripciones del
malware que conoce junto con lo necesario para detectarlos (patrones de
código).
Vigila el contenido de la memoria RAM.
Utiliza heurísticas (analiza rutinas o comportamientos maliciosos) para
protegerse de amenazas que aún no conoce.
Cuando encuentra una amenaza en un fichero, lo pone en cuarentena.
Puede enviar al fabricante trazas del malware para que este sea estudiado.
Vigila otras partes del sistema en busca de indicios de actividad insegura.

14
Ficheros ejecutables y malware

El malware resulta una amenaza cuando está incluido en ficheros
ejecutables:
○ En sistemas Linux y Mac solo los ficheros con permiso de ejecución
(x) pueden contener malware.
○ En Windows existen multitud de extensiones que pueden contener
código ejecutable:.exe,.com,.dll y muchas más.
○ Los archivos comprimidos (.zip,.rar,.7x,.tar,.gz)y las imágenes de
disco (.iso) son otro tipo de fichero que puede contener ejecutables
y, por tanto, malware.
○ Los documentos de aplicaciones que pueden contener macros. Por
ejemplo, un documento Excel (.xlsx).
¿Podemos encontrar malware en un archivo de texto, una imagen o un
audio?
15
Código malicioso en una imagen: esteganografía

Gracias a la técnica de la esteganografía es posible ocultar malware en un texto,
una imagen o audio, de manera que no sea perceptible a simple vista.

Hay algunas señales que pueden indicar que una foto ha sido alterada:

Tamaño del archivo: Si el tamaño de una imagen es significativamente mayor de lo
esperado, podría ser una señal de que contiene datos ocultos.
Calidad de la imagen: Cambios sutiles en la calidad de la imagen, como distorsiones
o artefactos, pueden indicar la presencia de información incrustada.
Comportamiento inusual: Si al abrir una imagen se desencadenan acciones
inesperadas en el dispositivo, como la apertura de ventanas emergentes o la
descarga de archivos, es posible que contenga malware.

Vídeo: ¿Qué es la esteganografía?

Vídeo: ¿Cómo se oculta la información con esteganografía?
16
Desinfección del sistema

Desinfección
Tras la detección del malware siempre hay que hacerse dos preguntas:
¿Es posible desinfectar el sistema y devolverlo a la situación anterior a la
infección?
¿Podemos eliminar o aliviar los efectos del malware?

Soluciones
Si el software antivirus no puede eliminar el virus, el administrador tiene
que restaurar el sistema a una situación anterior.
En casos más graves deberá formatear y llevar a cabo una instalación
del sistema operativo desde cero. Es lo recomendado en casos de
ransomware.
Otras soluciones útiles son las imágenes de respaldo (o los puntos de
restauración en Windows).
17
Botnet

Aún siendo desastrosos los efectos de un ransomware, posiblemente el
malware más difícil de eliminar en un sistema sea el botnet que ha
aprovechado la puerta trasera para introducirse. Servicio antibotnet.

En estos casos las tareas a realizar incluirán:
Cerrar la puerta trasera. Muchas veces se consigue actualizando a la
última versión alguna librería o aplicación,
Impedir la comunicación con el servidor controlador, cerrando los
puertos implicados con el cortafuegos.
Comprobar con qué privilegios se está ejecutando el malware y eliminar
de la memoria su proceso, no obstante, si el malware es avanzado tendrá
un sistema de autoprotección en virtud del cual estos procesos volverán a
ser inmediatamente ejecutados.
Estudiar la forma de actuar del malware.
18
Spam

El correo electrónico no solicitado, spam o correo basura
está terminantemente prohibido en España por la Ley de
Servicios de la Sociedad de la Información y de
Comercio Electrónico (LSSI) de 2002.

Se podría aplicar además, el Reglamento General de
Protección de Datos (RGPD), ya que dichos envíos
masivos se realizan sin autorización del usuario. El principal
agravante del spam es la posibilidad de ser portador de
malware o un medio de ejercer phishing.

19
Software antispam

¿Cómo evitar que el correo basura llegue a sus destinatarios?

El software antispam suele instalarse en los servidores de correo
electrónico, evaluando cada uno de los mensajes para catalogarlos como
deseados o no deseados.
Instalaremos extensiones antispam: SPAMfighter o Bit Defender para
servidores de Microsoft Exchange y Spamassasin o Spamexperts para
Open-Xchange (Linux).

20
Software antispam

¿Cómo clasificar un mensaje como deseado o no deseado? Dos métodos:

Comprobar si el servidor de correo remitente está en una lista negra de
dominios identificados como emisores de spam. Esta lista recibe el nombre de
Realtime Blackhole List (RBL).
Utilizar algoritmos heurísticos de inteligencia artificial para evaluar la
probabilidad de que se trate de un mensaje de correo no deseado.

Honeypots
El principal sistema para añadir dominios a la Lista negra (RBL) consiste en
disponer de un buen número de direcciones de correo “trampa” (honeypots o
tarros de miel) que no pertenecen a ninguna persona física y que, por tanto, no
deberían nunca recibir mensajes. En caso de recibirlos, pues, se trata de spam, y el
remitente es añadido a la lista negra.

21
Honeypots

El principal sistema para añadir dominios a la Lista negra (RBL) consiste en disponer de un buen
número de direcciones de correo “trampa” (honeypots o tarros de miel) que no pertenecen a ninguna
persona física y que, por tanto, no deberían nunca recibir mensajes.
En caso de recibirlos, pues, se trata de spam, y el remitente es añadido a la lista negra.
Se puede diseñar un honeypot para que parezca una pasarela de pago que es un objetivo típico para
los ciberdelincuentes porque contiene una gran cantidad de información personal y detalles de
transacciones, como números de tarjetas de crédito o información de cuentas bancarias o que se
parezca a una base de datos.

Los beneficios de un honeypot incluyen:

Facilidad de análisis. El tráfico del honeypot se limita a los
atacantes. El equipo de ciberseguridad puede dedicar más
tiempo a analizar el comportamiento de los ciberdelincuentes,
en lugar de separarlos de los usuarios legítimos.

Evolución continua. Una vez desplegados, los honeypots
pueden desviar un ciberataque y recopilar información de
manera continua.

Identificación de amenazas internas. Los honeypots pueden
identificar amenazas de seguridad tanto internas como
externas. 22
Registros SPF

A veces una organización debe enviar una gran cantidad de correos
electrónicos legítimos a sus clientes o asociados, pero corre el peligro de
ser incluida en la RBL.

¿Cómo evitar que un dominio que debe enviar correos masivos
legítimos sea catalogado como emisor de spam? Para ello se
creó el Sender Policy Framework (SPF) que podría ser traducido
como convenio de remitentes. Es una forma de incluir en el DNS
información de que servidores SMTP están autorizados para el
transporte de mensajes.

23
Actualizaciones del sistema y de las aplicaciones

Los exploits o vulnerabilidades en el software son la puerta de entrada de los
ataques externos.
Los desarrolladores utilizan parches para solucionar errores detectados en el
código.
Una actualización (upgrade) consiste en la aplicación de dicho parche, el cual
habitualmente consiste en la sustitución de uno o más ficheros defectuosos
por su versión corregida.
Toda actualización conlleva un riesgo de inestabilidad por los posibles efectos
que pueda conllevar.
El estándar CVE (Common Vulnerabilities and Exposures) fue creado en 1999
para asignar a cada vulnerabilidad un identificador único, independientemente
del tipo de vulnerabilidad o del software que lo sufra.
Es habitual encontrar listados de actualizaciones de seguridad con
identificadores CVE.
Vulnerabilidades | INCIBE-CERT | INCIBE
24
Actualizaciones en sistemas operativos Windows y Linux

Windows Server incluye un rol llamado WSUS (Windows Server Update Services)
cuyo objetivo es convertir al servidor en una fuente de actualizaciones para otros
servidores y equipos de la red.
Sus ventajas son:
Ahorro de ancho de banda
Control de los paquetes de actualizaciones que se pueden instalar
Automatización de la distribución de actualizaciones

En Linux se crea una copia espejo local de los repositorios oficiales. El
administrador puede controlar las actualizaciones:
no sincronizar automáticamente el repositorio local con el repositorio original;
configurar apt para conectar con el repositorio original;
cuando esté seguro de la estabilidad de una actualización, sincronizar el
repositorio local con el remoto)
25
Hardening

La mayoría del hardware y del software puede ser configurado por el
administrador para adaptarlo a sus necesidades. Si las opciones de
configuración están relacionadas con la seguridad, estamos hablando de
hardening: endurecimiento o fortalecimiento del hardware y del software.

Existen organizaciones cuya misión es clasificar ataques y recomendar
soluciones a los administradores de sistemas. Algunas organizaciones son:
Fundación OWASP (Open Web Application Security Project)
Consorcio WASC (Web Application Security Consortium)
CIS (Center for Internet Security)
CCN (Centro Criptológico Nacional)
También existen herramientas para realizar auditorías o análisis forenses:
Bastille Linux
Lynis
26
Seguridad en las redes cableadas

Para acceder clandestinamente a una red cableada, por ejemplo, de tipo Ethernet,
es necesario conectar el equipo intruso físicamente a la red con un cable.
Solo hay tres ubicaciones posibles:

A un router o switch de la red.
En una toma de datos de red (roseta) libre.
Suplantando a un ordenador autorizado, utilizando un cable de red (latiguillo).

27
Seguridad en las redes cableadas

1. Control de equipos por dirección MAC
2. Servidores rogue DHCP
3. Registro de equipos en un dominio
4. IEEE 802.1X
5. VLAN
6. SNMP

28
Control de equipos por dirección MAC y servidores rogue DHCP

Control de equipos por dirección MAC
Para facilitar la configuración de las interfaces de red de todos los
equipos de una red se puede utilizar un servidor DHCP. Una medida de
seguridad ante accesos no autorizados a la red cableada consiste en
configurar los servidores DHCP para que puedan asignar la misma IP a
la misma MAC, lo que se denomina asignación fija o estática de
direcciones IP.

Servidores rogue DHCP: rogue significa pícaro, granuja, aunque aquí
podemos traducirla por furtivo. Un servidor rogue DHCP es el que no está
bajo el control del administrador. Si nuestro servidor DHCP dispone de la
capacidad de alertar al administrador si detectan la presencia de otro
servidor DHCP debemos activarla.
29
Registro de equipos en un dominio y autenticación

Registro de equipos en un dominio: El dominio Active Directory de
Windows almacena en su base de datos los usuarios y equipos
autorizados. El sistema de políticas de grupo permite definir
configuraciones a usuarios y a grupos de equipos.

IEEE 802.1X: Protocolo utilizado para autenticar usuarios o equipos en
redes cableadas o inalámbricas. Nació como una alternativa más segura
a PPP (Point-to-Point). Hace uso del protocolo EAP (Extensible
Authentication Protocol).
En una red cableada que haga uso de IEEE 802.1X ningún equipo intruso
puede unirse a ella, pues, para iniciar la conexión, su interfaz de red debe
autenticarse o le será denegada la transmisión y recepción de datos.

30
Seguridad en la red: VLAN y SNMP

VLAN: Una forma de separar el tráfico de una red en subredes
independientes. Mediante el protocolo IEEE 802.1Q, que añade un
campo extra a los paquetes que atraviesan los switches, es posible
etiquetar tráfico de forma que pertenezca a diferentes redes
independientes entre ellas.

El protocolo SNMP se utiliza dentro de las redes corporativas para
obtener información de los equipos y dispositivos de la red. SNMP puede
presentar un problema de red.
Si el dispositivo dispone de SNMPv3 debemos utilizarlo y deshabilitar
SNMPv1 y SNMPv2.

31
Usos de las VLAN

Las VLAN en una red conmutada permiten a los usuarios de varios departamentos (por
ejemplo, TI, recursos humanos y ventas) conectarse a la misma red, independientemente
del switch físico que se esté utilizando o de la ubicación en una LAN del campus.

Cuando se implementan las VLAN
en un switch, la transmisión del
tráfico de unidifusión,
multidifusión y difusión desde un
host en una VLAN en particular se
limita a los dispositivos presentes en
esa VLAN.

32
VLAN: Enlaces troncales

Un enlace troncal es un enlace punto a punto entre dos dispositivos de red (por ejemplo, enlace entre
dos switch, entre un switch y un router) que lleva más de una VLAN. Un enlace troncal de VLAN amplía las
VLAN a través de toda la red. Cisco admite IEEE 802.1Q para coordinar enlaces troncales en las interfaces
Fast Ethernet, Gigabit Ethernet y 10-Gigabit Ethernet.

Un enlace troncal no pertenece a una VLAN específica. Es más bien un conducto para las VLAN entre los
switches y los routers.
Enlaces troncales

Enlaces de acceso. Unión
entre un PC y un switch

33
Identificación de VLAN con etiqueta

El encabezado de trama Ethernet estándar no contiene información sobre la VLAN a la que pertenece la trama. Por lo tanto,
cuando las tramas de Ethernet se ubican en un enlace troncal, se necesita agregar información sobre las VLAN a las que
pertenecen.

Este proceso, denominado “etiquetado”, se logra mediante el uso del encabezado IEEE 802.1Q. El encabezado 802.1Q incluye
una etiqueta de 4 bytes insertada en el encabezado de la trama de Ethernet original que especifica la VLAN a la que pertenece la
trama.

Detalles del campo VLAN Tag

El campo de etiqueta de la VLAN consta de un campo de tipo, un campo de prioridad, un campo de identificador de formato
canónico y un campo de ID de la VLAN:

Tipo - Un valor de 2 bytes denominado “ID de Protocolo de Etiqueta” (TPID). Para Ethernet, este valor se establece en
0x8100 hexadecimal.
Prioridad de usuario - Es un valor de 3 bits que admite la implementación de nivel o de servicio.
Identificador de Formato Canónico (CFI) - Es un identificador de 1 bit que habilita las tramas Token Ring que se van a
transportar a través de los enlaces Ethernet.
VLAN ID (VID) - Es un número de identificación de VLAN de 12 bits que admite hasta 4096 ID de VLAN.

34
Identificación de VLAN con etiqueta

35
Ataque de VLAN Hopping

El VLAN Hopping permite que una VLAN pueda
ver el tráfico de otra VLAN sin cruzar primero un
router.
En un ataque de VLAN Hopping básico, el atacante
configura un host para que actúe como un switch
para falsificar la señalización 802.1Q y la
señalización del Protocolo de enlace dinámico
(DTP), propiedad de Cisco, hacia el enlace troncal
con el switch de conexión.

Si es exitoso, el switch establece un enlace troncal con el host, como se muestra en la figura. Ahora el
atacante puede acceder todas las VLANS en el switch. El atacante puede enviar y recibir tráfico en
cualquier VLAN, saltando efectivamente entre las VLAN.

36
Ataque de VLAN Double Tagging

Un atacante, en situaciones específicas, podrían insertar una etiqueta 802.1Q oculta dentro de la trama que ya
tiene una etiqueta 802.1Q. Esta etiqueta permite que la trama se envíe a una VLAN que la etiqueta 802.1Q
externa no especificó.

Un ataque de VLAN Double-tagging es unicast y funciona cuando el atacante está conectado a un puerto que
reside en la misma VLAN que la VLAN nativa del puerto troncal. La idea es que el doble etiquetado permite al
atacante enviar datos a hosts o servidores en una VLAN que de otro modo se bloquearía por algún tipo de
configuración de control de acceso.

37
Mitigación de ataques VLAN

Los ataques de VLAN hopping y VLAN Double-Tagging se pueden evitar mediante la implementación de las
siguientes pautas de seguridad troncal:

Deshabilitar el enlace troncal en todos los puertos de acceso.
Deshabilitar el enlace troncal automático en enlaces troncales para poder habilitarlos de manera manual.
Asegúrese de que la VLAN nativa sólo se usa para los enlaces troncales.
Inhabilitar todos los puertos que no se utilizan. Si un puerto debe reactivarse más tarde, se puede habilitar
con el comando no shutdown.
Habilitar la seguridad de los puertos, de esta forma solo se pueden configurar puertos de acceso o troncales
de forma manual.

38
Seguridad en las redes inalámbricas

WEP, WPA y WPA2

El protocolo WEP (Wired Equivalent Privacy) nació en 1999 dando forma
al estándar IEEE 802.11. Utiliza un cifrado RC4 con claves de 64 bits muy
vulnerables.

En 2003 apareció WPA (Wifi Protected Access) implementa casi en su
totalidad el estándar IEEE 802.11i. Utiliza cifrado RC4 con clave de 128
bits e incorpora otras medidas de seguridad como TKIP (Temporal Key
Integrity Protocol). La integridad se ve mejorada al cambiar el algoritmo
CRC por otro denominado MIC (Message Integrity Check).

En 2005 se terminó de implementar el estándar con la creación de
WPA2, en sus dos vertientes WPA2 personal también conocido como
WPA-PSK y WPA2 empresarial. WPA2 utiliza el cifrado AES (Advanced).
39
Seguridad en las redes inalámbricas: WPA3

En 2018 la wifi Alliance diseñó el protocolo WPA3:

WPA3 ofrece un cifrado más robusto con arquitectura de seguridad de
192 bits para paliar vulnerabilidades de WPA2.

WPA3 Forward Secrecy. Es una característica que evita que un atacante
pueda descifrar el tráfico capturado.

Siempre utilizaremos WPA3 si está disponible en nuestros puntos de
acceso. En concreto usaremos la modalidad WPA2/WPA3 para permitir el
acceso de equipos inalámbricos que aún no soporten WPA3.

WPA3, la mayor actualización en redes wifi de la última década

40
Seguridad en las redes inalámbricas: WPS y Hotspots

WPS (Wifi Protected Setup): es un sistema ideado en 2007 para facilitar el
ingreso en una red inalámbrica sin necesidad de proporcionar una
contraseña. La versión WPS-PIN implica la necesidad que el usuario
proporcione un PIN de ocho dígitos preestablecido en la configuración del
punto de acceso.Tener activada esta opción implica una nueva forma de
conexión que podría ser utilizada por un atacante para acceder a nuestra
red wifi, ya que el tiempo que se necesita para averiguar un PIN de 8 dígitos
es mucho menor que el que necesitaría para averiguar una contraseña
WPA2 (AES).

Hotspots: La principal función de un hotspots es proporcionar acceso a
internet, no a los recursos de la empresa. Encontramos este tipo de redes
inalámbricas en hoteles, aeropuertos, centros comerciales, etc.
41
Ataques a redes

1. Obtención de contraseña o credenciales mediante suplantación de SSID

2. Denegación de servicio

3. Secuestro de sesión

42
Ataques a redes: suplantación de SSID

Obtención de contraseña o credenciales mediante suplantación de SSID

Los ataques Man in the Middle tienen diferentes modalidades según la
técnica empleada. Se basan en interceptar la comunicación entre 2 o más
interlocutores.
En una red Wifi, un atacante puede montar un punto de acceso con el
mismo SSID que la red que intenta atacar. Desde ese mismo momento
cualquier usuario puede, sin saberlo, estar conectando con el punto de
acceso furtivo (rogue access point).
Por este motivo debemos evitar conectarnos a redes wifi abiertas (las que
podemos encontrar en cafeterías, hoteles, aeropuertos, centros
comerciales, vecindarios, etc.), y en caso de conexión utilizar una red
privada virtual o VPN.

43
Ataques a redes: DoS y DDoS

Denegación de servicio

Existen dos técnicas de este tipo de ataques: la denegación de servicio o
DoS (Denial of Service) y la denegación de servicio distribuido o DDoS
(Distributed Denial of Service). La diferencia entre ambos es el número de
ordenadores o IP´s que realizan el ataque.
En redes wifi hay muchas variantes: Por ejemplo, emitir una señal que
interfiera el canal que utiliza nuestra red inalámbrica, denominada ruido;
emitir paquetes de autenticación de cliente falsos; emitir una ingente
cantidad de paquetes de solicitud de ingreso, sobrecargándolo y
disminuyendo su rendimiento.

El mayor ataque de DDoS registrado

44
Ataques a redes: Secuestro de sesión

Secuestro de sesión

Por ejemplo, cuando un usuario legítimo, conectado a una wifi, navega a
páginas web donde inicia una sesión aportando sus credenciales, estas
credenciales pueden ser capturadas por un atacante y utilizarlas
posteriormente para suplantar al usuario en dicha web.

La mejor medida de seguridad es que los usuarios nunca introduzcan sus
datos comprometidos en páginas web HTTP y solo lo hagan en páginas
HTTPS. Pero, incluso en estos casos, muchas veces la contraseña viaja
en una cookie sin cifrar.

❖ Suplantación de identidad y secuestro de cuentas

45
Monitorización del tráfico de red

Una forma de detectar actividades intrusivas en nuestra red consiste en
monitorear el tráfico de red, es decir, en capturar los paquetes de datos que
recorren nuestra red y analizarlos para encontrar evidencias.
Las herramientas que nos permiten monitorizar el tráfico de red son
denominadas sniffers o analizadores de paquetes. Los más conocidos son:

Tcdump: Herramienta CLI empleada como sniffer en Linux con multitud
de argumentos para realizar capturas de paquetes.

Netsninff-ng: Otra herramienta libre y CLI para equipos Linux.

Wireshark: Es el sniffer de código abierto más extendido para equipos de
escritorio.

Firmware en dispositivos de red: El firmware de los routers y de
algunos puntos de acceso incluye también la funcionalidad de sniffer.
46
Bibliografía

Triviño Mosquera, Ignacio (2019). Seguridad y alta disponibilidad (Grado
Superior). Editorial Síntesis
Principales tipos de virus y cómo protegernos frente a ellos
Seguridad en redes Wifi
Hardening básico Linux
Tu router, tu castillo

47