Este documento describe la anatomía de un ataque cibernético, que generalmente consta de 5 fases: 1) Reconocimiento, 2) Exploración, 3) Obtener acceso, 4) Mantener acceso, y 5) Borrar huellas. También discute cómo se ve un ataque desde la perspectiva de un usuario y de los profesionales de TI, y ofrece consejos sobre cómo proteger los sistemas web mediante la observación, aplicación de contraseñas seguras, monitoreo, servicios de hosting confiables y auditorías de seguridad periódic
2. ABOUT ME
Licenciado en Informática, actualmente trabaja como consultor.
Líneas de Investigación:
• Criminalística Digital
• Tratamiento de Imágenes con Visión artificial
• Programación Web de alto rendimiento
• Informática Forense
@Warigroup
3. ACERCA DE ESTA CHARLA
Esta charla es más sobre casuística y como experiencia.
Reaccionar ante una situación nada ventajosa.
6. ANATOMÍA DE UN ATAQUE
Fase 1: Reconnaissance (Reconocimiento). Esta etapa involucra la obtención de
información (Information Gathering) con respecto a una potencial víctima que puede ser una
persona u organización.
Por lo general, durante esta fase se recurre a diferentes recursos de Internet como San
Google, entre tantos otros, para recolectar datos del target Algunas de las técnicas utilizadas
en este primer paso son la Ingeniería Social, el Dumpster Diving, el sniffing.
7. ANATOMÍA DE UN ATAQUE
Fase 2: Scanning (Exploración). En esta segunda etapa se utiliza la información obtenida en
la fase 1 para sondear el blanco y tratar de obtener información sobre el sistema víctima como
direcciones IP, nombres de host, datos de autenticación, entre otros.
Entre las herramientas que un atacante puede emplear durante la exploración se encuentra el
network mappers, port mappers, network scanners, port scanners, y vulnerability scanners.o
de la tabla ARP (ARP Poisoning).
8. ANATOMÍA DE UN ATAQUE
Fase 3: Gaining Access (Obtener acceso). En esta instancia comienza a materializarse el ataque
a través de la explotación de las vulnerabilidades y defectos del sistema (Flaw exploitation)
descubiertos durante las fases de reconocimiento y exploración. Algunas de las técnicas que el
atacante puede utilizar son ataques de Buffer Overflow, de Denial of Service (DoS), Distributed
Denial of Service (DDos), Password filtering y Session hijacking.
9. ANATOMÍA DE UN ATAQUE
Fase 4: Maintaining Access (Mantener el acceso). Una vez que el atacante ha conseguido acceder al
sistema, buscará implantar herramientas que le permitan volver a acceder en el futuro desde
cualquier lugar donde tenga acceso a Internet. Para ello, suelen recurrir a utilidades backdoors,
rootkits y troyanos
10. ANATOMÍA DE UN ATAQUE
Fase 5: Covering Tracks (Borrar huellas). Una vez que el atacante logró obtener y mantener el
acceso al sistema, intentará borrar todas las huellas que fue dejando durante la intrusión para evitar
ser detectado por el profesional de seguridad o los administradores de la red. En consecuencia, buscará
eliminar los archivos de registro (log) o alarmas del Sistema de Detección de Intrusos (IDS).
18. Conflicto de Ucrania: El 'virus' ruso que inutiliza miles de 'routers' en segundos e
inquieta a Occidente (elconfidencial.com)
19. EXISTEN SISTEMAS INFORMÁTICOS SEGUROS ….?
• Un sistema puede ser seguro cuando sólo acceden personas autorizadas.
• ¿Que esté aislado de la internet y cualquier red?
20. RAZONES POR QUE LOS SISTEMAS SON
INSEGUROS…
• Vulneraciones 0 day
• SQL inyection
• Ataques XSS
• Actualización de componentes.
• Otros.
21. COMO SE VE UN ATAQUE, DESDE LA VISTA
DE UN USUARIO
22. COMO SE VE UN ATAQUE, DESDE LA VISTA
DE UN USUARIO
23. COMO SE VE UN ATAQUE, DESDE LA VISTA
DE UN USUARIO
24. COMO SE VE UN ATAQUE, DESDE LA VISTA
DE UN USUARIO
25. COMO SE VE UN ATAQUE, DESDE LA VISTA
DE UN USUARIO
26. COMO SE VE UN ATAQUE, DESDE LA VISTA
DE UN USUARIO
27. COMO SE VE UN ATAQUE, DESDE LA VISTA
DE LOS INFORMÁTICOS
28. COMO SE VE UN ATAQUE, DESDE LA VISTA
DE LOS INFORMÁTICOS
https://threatmap.bitdefender.com/
29. COMO SE VE UN ATAQUE, DESDE LA VISTA
DE LOS INFORMÁTICOS
30. COMO SE VE UN ATAQUE, DESDE LA VISTA
DE LOS INFORMÁTICOS
31. COMO SE VE UN ATAQUE, DESDE LA VISTA
DE LOS INFORMÁTICOS
32. COMO SE VE UN ATAQUE, DESDE LA VISTA
DE LOS INFORMÁTICOS
33. COMO SE VE UN ATAQUE, DESDE LA VISTA
DE LOS INFORMÁTICOS
34. COMO SE VE UN ATAQUE, DESDE LA VISTA
DE LOS INFORMÁTICOS
35. COMO SE VE UN ATAQUE, DESDE LA VISTA
DE LOS INFORMÁTICOS
37. SI ERES USUARIO
• Trata de mantener la calma
• Recuerda que hay personas
trabajando para solucionar el
problema.
• Estar atento a cualquier comunicado
Oficial de la empresa o institución, no
hacer caso a publicaciones que
buscan generar pánico.
• Llame a la empresa y reporte.
39. PRIMER PASO
• Lo primero que debes realizar es aislar el sistema
hasta buscar una solución:
• Desactivar todas las conexiones de red a las que tiene
acceso el sistema.
• Detener todos los procesos del sistema
40. PASO 2: EVALUAR DAÑOS
• Cuando el sistema está fuera de servicio, hay que analizar lo siguiente:
• Revisar la integridad de la Base de datos
• Revisar la integridad de la Página web
41. PASO 3. SOLUCIONAR EL PROBLEMA.?
• Solución temporal. (Parche)
• Tomar en cuenta la restauración del sistema
• Restaurar la aplicación del versionamiento del sistema
44. EL ATAQUE PUEDE SER INTERNO O
EXTERNO.. ?
• Un ataque a un sistema puede ser interno o externo.
• Interno se refiere a que una persona dentro de la institución esté realizando una acción
que imposibilita el buen funcionamiento del sistema.
• Externo se refiere a que una persona que no trabaja en la institución está realizando
una acción que imposibilita el buen funcionamiento del sistema, esta acción se puede
realizar desde cualquier parte del mundo.
46. • Existen diferentes procedimientos para proteger diferentes sistemas web, desde los más básicos
hasta lo más complejo.
• Cada país posee una normativa de cómo proceder cuando ocurre un ataque informático.
https://www.cgii.gob.bo/
https://www.cgii.gob.bo/sites/default/files/2017-
12/Documento_Seguridad_SEG-001.pdf
https://www.oas.org/es/sms/cicte/docs/Consideraciones-fondo-
promocion-ciberseguridad-ESP.pdf
51. PRIMER PASO: OBSERVACIÓN
• lo primero que debes hacer es lo siguiente:
• Revisa periódicamente el sistema para ver alguna actividad sospechosa
• Revisa si los dominios están bajo una lista negra (sitios reportados )
[http://mxtoolbox.com/blacklists.aspx]
• Realiza periódicamente copias de seguridad del sistema (si es altamente transaccional se
recomienda hacer copias de seguridad a menos de una hora o usar tablas replicantes )
• Desarrolle el sistema contra ataques comunes (ejemplo SQL-Inyection)
52. PASO 2: APLICACIÓN
• Obliga que tus usuarios cuenten con una contraseña
segura (puedes usar diferentes tácticas )
• Ejemplo:
• ElP4$$w0Rd3€_FB
• F4c3b00k_3€
• Estilo Soduko
• BM1C0nTr4$3ñ4
• Revisa periódicamente páginas como
https://haveibeenpwned.com/
para ver si algún correo registrado en el sistema está
reportado.
https://www.avast.com/hackcheck#pc
53. PASO 3: MONITORIZAR EL SISTEMA
• Generalmente los sistemas tienen un patrón de uso, revisa cualquier actividad inusual.
54. PASO 4: SERVICIOS DE CONFIANZA
• Contrata servicios hosting de confianza y en especial que sean del país.
55. PASO 5: MODIFICACIÓN DEL SISTEMA WEB
• Solo personal autorizado debería
• tener acceso al sistema web.
56. PASO 6: REALIZA AUDITORIAS DE
SEGURIDAD
• Revisa generalmente las vulnerabilidades publicadas en diferentes sitios web.
57. PASO 7: PLANES DE CONTINGENCIA
• Planes de contingencia contra:
• Desastres naturales
• Incendios
• Ataques informáticos
• Control de cambios
• Otros.
58. PASO 9: INSTALA APLICACIONES DE
SEGURIDAD
• IDS (sistema de detección de intrusos )
• IPS (sistema de prevención de intrusos )
• WAF (Web aplicación Firewall)