Logo Studenta

A7_E4

IPN

0
Dislike0
0
Dislike0
Comment0
User badge image

alebello1610

¡Este material tiene más páginas!

Entonces, ¿te gustó este material?

Ayude a animar a otros estudiantes a mejorar el contenido

¿Te gustó este material? ¡Compartir! 🧡

LikeFooter
DislikeFooter

Gobernanza TI

2387 Materiales compartidos

mobile

Descarga la aplicación para disfrutar aún más

Lea materiales sin conexión, sin usar Internet. Además de muchas otras características!

Vista previa del material en texto

INSTITUTO POLITÉCNICO NACIONAL
 ESCUELA SUPERIOR DE CÓMPUTO
Actividad 7: Delitos informáticos
Maestra: Guzmán Flores Jessie Paulina. Materia: IT Governance. Fecha de entrega: domingo, 18/12/22. Grupo: 3CM13.
Equipo: 
· Briseño Lira Andrés (Compilador)
· López Reyna Bryan Ricardo (Evaluador) 
· Ortiz Rincón Christian Fernando (Revisor)
· Pérez Vidales Yesua David (Alertas)
· Reyes Rebollo Ángel de Jesús (Compilador)
· Valenzuela Góngora Eric Alejandro (Entregas)
IT - Governance | Equipo 4
2
Índice 
Introducción	1
Cuerpo del trabajo	1
1.	¿Qué delitos informáticos debemos prevenir?	1
2.	¿Cómo se clasifican los delitos informáticos?	1
3.	¿Cuáles son las sanciones?	2
4.	¿Cuáles son las instituciones a las que debemos acudir a denunciar?	2
5.	¿Qué es una evidencia digital?	3
6.	¿Cómo se clasifica?	3
7.	¿Quién debe recolectar la evidencia?	3
8.	¿Qué actividades realiza el administrador?	3
9.	¿Qué aspectos legales se vinculan al incumplimiento de la protección de la información de los sistemas de la información?	4
Delitos informáticos	4
Sabotaje informático	4
Vishing	5
Robo de identidad	5
Software espía en móviles	5
Tecnología de seguridad	5
Bluejacking	6
Metodologías de Pruebas de Penetración	6
Bluesnarfing	6
Protocolos de Redes y Seguridad – RFC	6
War Room – Cuarto de guerra	7
Foot printing	7
Reconnaissance	8
Scanning	8
Enumeration	8
Troyanos	9
Backdoors	9
Malware	9
Virus	10
Worm y faceworm	10
Interceptar el Tráfico de Red	10
Filtración y Análisis de Paquetes	11
Explotación de la Vulnerabilidad de Root Remoto	11
Sniffers en el entorno Alambre – Inalámbrico	11
Ingeniería Social	11
Email Phishing	11
Esteganografía	12
Criptografía	12
Firewall	12
Honeypots	13
IDS y IPS (Sistema de Detección de Intrusiones – Prevención de Intrusiones)	13
Secuestro de Sesión SPAM	14
Denegación de Servicio DOS	14
Ataques de Privilege Escalation	14
Hackear Servidores Web y Aplicaciones Web	15
Hackear con archivos de imagen	15
Ataques avanzados de inyección de SQL y Prevención	15
Ataque de Cross Site Scripting y Prevención	17
Ejecución de Código Shell en el Disco contra RAM	17
Atacar máquinas parchadas / Ataques día 0 / Ataques de VoIP	17
TCP Fuzzing con Scapy	18
Metodologías Defensivas	18
Gestión de Logs Administración de Parches y Configuración	18
Evidencias Digitales y Entornos Informáticos	18
HoaxXploit	20
Reconocimiento de intrusos	20
Delitos informáticos en cuarentena: riesgo y soluciones del trabajo online	23
Seguridad en la nube	23
Delitos informáticos previstos en la legislación penal mexicana y la normatividad internacional	23
Ciberacoso/Cyberbullying	23
Conclusiones	24
Referencias	24
Introducción
En este trabajo de investigación abordaremos temas relacionados con los delitos informáticos, como es que se clasifican estos además de cuáles son las sanciones que se tienen al realizarlos. Esto con el fin de poder conocer de manera clara estos temas que son parte de nuestra área de estudio.
De igual manera se muestra información referente a las instituciones que se encargan de realizar los procedimientos pertinentes al momento de realizar una denuncia, como es que ellos clasifican y evalúan las evidencias digitales en los casos y que acciones realizan al analizar estas evidencias. Esta información es bastante importante, dado que cada día los avances en la tecnología hacen que este mas presente en la vida diaria de las personas, de esta manera el conocer como se realizan los procedimientos en caso de ser víctima de algún delito informático debería ser conocimiento de la población en general.
También se muestra cuales son los aspectos legales que se vinculan al incumplimiento de la protección de la información de los sistemas, siendo los artículos 67 y 69 los que se muestran en este trabajo.
Por último, se muestra una investigación acerca de una gran cantidad de delitos informáticos, esto con el fin de conocerlos y en muchos casos saber cual es la manera en la que se efectúan para así poder estar prevenidos frente a ellos y, a su vez, considerar las vulnerabilidades que estos ataques aprovechan para que en el desarrollo de nuestros sistemas podamos tenerlos en cuenta y no ser tan vulnerables frente a ellos. También se habla acerca de sistemas que nos ayudan a tener un monitoreo de prevención en nuestros sistemas, como lo son los sistemas de detección de intrusiones (IDS) y los sistemas de prevención de intrusiones (IPS). 
Cuerpo del trabajo
1. ¿Qué delitos informáticos debemos prevenir?
Un delito informático, también llamado ciberdelito, son todas aquellas acciones antijurídicas e ilícitas que se llevan a cabo a través de vías informáticas, tales como portales web, redes sociales o aplicaciones móvil. También se consideran delitos informáticos aquellos en los que intervienen las nuevas tecnologías, no solo como medio sino como objeto o bien jurídico protegido.
Todo tipo de delito informático debe ser evitado ya que los daños patrimoniales y económicos están asegurados en el panorama empresarial y profesional, de ahí la incesante necesidad, y cada vez más obligación, de protegerse de posibles ataques informáticos y consecuencias delitos informáticos. Ser víctima de un delito informático puede tener muchas consecuencias dependiendo del tipo de delito, y estas consecuencias van desde pérdidas económicas o mala reputación a la imagen empresarial hasta problemas legales y el quiebre de la empresa.
2. ¿Cómo se clasifican los delitos informáticos?
De acuerdo con la Brigada Central de Investigación los delitos informáticos se clasifican en:
· Ataques contra la intimidad: Se basa en el descubrimiento y revelación de secretos, gracias al apoderamiento y propagación de datos personales de ficheros informáticos privados.
· Falsedades: Creación o posesión de programas destinados a cometer delitos de falsedad, así como de documentos o medios de pago falsos, algo que se ha facilitado gracias a la existencia cada vez mayor de las nuevas tecnologías.
· Infracciones a la propiedad intelectual: Castiga acciones como reproducción, distribución, plagio y otras acciones asociadas con obras literarias o cualquier otro tipo, sin que se tenga la autorización del titular de los derechos de autoría, esto con la finalidad de proteger la propiedad intelectual de cualquier ataque informático.
· Fraudes informáticos: Estafas mediante la manipulación de datos o programas con fines lucrativos, puede llevarse a cabo mediante la piratería informática, teniendo acceso a un ordenador que tenga información confidencial.
· Pornografía infantil: Acciones que apoyen o impulsen la pornografía de menores, distribución, venta, posesión, entre otras cosas, de material pornográfico donde salgan menores o incapaces.
· Sabotajes informáticos: Se basa en destruir o desaparecer información de bases de datos, equipos, soportes, entre otros, para suspender o paralizar una actividad laboral.
3. ¿Cuáles son las sanciones?
Ante un delito informático, las empresas afectadas se pueden ver enfrentadas a la interrupción de la continuidad del negocio, pérdidas financieras y golpes a su reputación, pero las consecuencias legales también pueden ser profundas.
De acuerdo con código penal se listan las sanciones por cometer algunos de los delitos informáticos:
· Sabotajes informáticos. Seis meses a dos años de prisión y de cien a trescientos días multa. Artículo 211 bis 1
· Infracciones a propiedad intelectual. Tres meses a un año de prisión y de cincuenta a ciento cincuenta días multa. Artículo 211 bis 1
· Pornografía infantil.	Siete a doce años de prisión y de ochocientos a dos mil días de multa.	Artículo 202
4. ¿Cuáles son las instituciones a las que debemos acudir a denunciar?
Policía Cibernética. (Secretaría de Seguridad en el Estado de México, Secretaría de Seguridad Ciudadana en la Ciudad de México) Tiene como objetivo prevenir, atender y combatir incidentes que se cometen a través de medios digitales, como fraude, extorsión, robo de identidad, explotación sexual, acoso, maltratoanimal, venta de sustancias prohibidas y armas entre otros.
Comisión Nacional de Seguridad. Su labor se basa en rastrear y detectar delincuentes cibernéticos, además de dar recomendaciones y orientación en materia de ciberseguridad y recibir denuncias en línea.
Guardia Nacional. Permite hacer denuncias a través del Centro Nacional de Atención Ciudadana para reportar todo abuso o delito cibernético.
5. ¿Qué es una evidencia digital?
La evidencia digital es un registro de la información guardada o difundida a través de un sistema informático que puede utilizarse como prueba en un proceso judicial. Es cualquier dato digital que pueda relacionar un delito con su víctima o con su autor.
6. ¿Cómo se clasifica?
Las evidencias digitales pueden clasificarse según el tipo de elemento, de sistema o la fuente.
Por elemento:
· Evidencia de hardware: Se refiere a casos de uso de un decodificador de señal cuya posesión sea ilegal o ilícita, un sniffer para escuchar la red que se utilice con fines delictivos o cualquier instrumento que sirva como prueba de que se ha cometido un delito.
· Evidencia digital: Se refiere a los datos, programas e información comunicados mediante un sistema informático cuando la ley prohíbe esa comunicación.
Por sistema:
· Sistemas de computación abiertos: Son aquellos ordenadores y periféricos de cuyos discos duros puede obtenerse gran cantidad de información.
· Medios de telecomunicaciones: Conjunto de redes de comunicación interconectadas.
· Sistemas de computación convergentes: Instrumentos electrónicos que dispongan de convergencia digital, como móviles o tarjetas inteligentes.
Por fuente:
· Evidencias generadas por el ordenador
· Evidencias generadas por una persona con el ordenador
· Las que combinan los dos casos anteriores
7. ¿Quién debe recolectar la evidencia?
Los examinadores de medios digitales certificados son investigadores que tienen la educación, capacitación y experiencia para explotar adecuadamente esta evidencia sensible. No existe un organismo certificador único, y los programas de certificación pueden contener diferentes cursos de estudio. En general, estos profesionales han demostrado competencias básicas en procedimientos de pre-examen de cuestiones legales, evaluación y análisis de medios, recuperación de datos, análisis específico de datos recuperados, documentación e informes, y presentación de recomendaciones.
8. ¿Qué actividades realiza el administrador?
Las actividades para realizar el análisis son las siguientes:
1.- Prevenir la contaminación: Antes de analizar la evidencia digital, debe realizarse una copia de trabajo del dispositivo de almacenamiento original. La copia debe ser almacenada en otros medios para mantener el original. Los analistas deben usar medios de almacenamiento «limpios» para evitar la contaminación o la introducción de datos de otra fuente.
2.- Aislar dispositivos inalámbricos: Los dispositivos inalámbricos deben ser examinados inicialmente en una cámara de aislamiento, si está disponible, esto evita conexión a cualquier red y mantiene la evidencia tan aislada como sea posible.
3.- Instalar software de bloqueo de escritura: Para evitar cualquier cambio en los datos en el dispositivo, el analista instalará un bloqueo en la copia de trabajo para que esos datos se puedan ver pero nada se pueda modificar.
4.- Seleccionar métodos de extracción: Una vez que se crea la copia de trabajo, el analista seleccionará el software de extracción diseñado para analizar los datos por completo.
5.- Enviar el dispositivo o los medios originales para su examen tradicional: Cuando se han eliminado los datos, el dispositivo se vuelve a enviar a evidencia. Puede haber ADN, huellas digitales u otra evidencia que pueda obtenerse de él.
6.- Continuar con la investigación: En este punto, el analista utilizará el software seleccionado para ver datos.
9. ¿Qué aspectos legales se vinculan al incumplimiento de la protección de la información de los sistemas de la información?
En la Ley Federal de Protección de Datos en Posesión de los Particulares viene estipulado lo siguiente:
Capítulo XI
De los Delitos en Materia del Tratamiento Indebido de Datos Personales
Artículo 67.- Se impondrán de tres meses a tres años de prisión al que, estando autorizado para tratar datos personales, con ánimo de lucro, provoque una vulneración de seguridad a las bases de datos bajo su custodia.
Artículo 69.- Tratándose de datos personales sensibles, las penas a que se refiere este Capítulo se duplicarán.
Delitos informáticos
Sabotaje informático
Sabotaje informático son aquellas conductas que ponen en peligro o lesionan la integridad, confidencialidad y/o disponibilidad de los datos y sistemas informáticos, mediante el acto de borrar, suprimir o modificar sin autorización funciones o datos de una computadora con intención de obstaculizar el funcionamiento normal del sistema.
El sabotaje informático puede tener lugar en Internet en dos formas: puede producirse por medio de la modificación y/o destrucción de los datos o programas del sistema infectado, o puede producirse por medio de la paralización o bloqueo del sistema, sin que necesariamente se produzca alteración ni destrucción de los datos o programas.
Vishing
El vishing es un tipo de estafa de ingeniería social en la que, a través de números telefónicos fraudulentos, software de modificación de voz, mensajes de texto e ingeniería social, convencen a los usuarios de que divulguen información delicada o bien, se suplanta la identidad de una organización o persona de confianza. El objetivo es sustraer información personal y sensible de la víctima para tratar de obtener más información, conseguir que el usuario instale algún malware en su equipo o que realice algún tipo de pago.
Robo de identidad
El robo de identidad o usurpación de identidad es cuando una persona obtiene, transfiere, utiliza o se apropia de manera indebida, de los datos personales de otra sin la autorización de ésta última, usualmente para cometer un fraude o delito. La identidad la constituyen los datos personales: nombre, teléfono, domicilio, fotografías, huellas dactilares, números de licencia y de seguridad social, incluyendo información financiera o médica, así como cualquier otro dato que permita identificar a una persona. En muchos casos el ladrón de identidad utiliza la información ilegalmente adquirida para contratar productos y servicios financieros a nombre de la víctima.
Software espía en móviles
Un software espía es una aplicación o programa de software que, sin que lo sepas, permite que otra persona recopile o visualice toda la actividad de tu celular y se instala sin pedir permiso. Estos programas pueden acceder a: información personal, cámara del teléfono, fotos y videos, contactos, conversaciones, aplicaciones, contraseñas, archivos, entre otros.
Tecnología de seguridad
La tecnología de seguridad o seguridad informática, también conocida como ciberseguridad​ se enfoca en la protección de la infraestructura computacional y todo lo vinculado con la misma, y especialmente la información contenida en una computadora o circulante a través de las redes de computadoras. Para ello existen una serie de estándares, protocolos, métodos, reglas, herramientas, y leyes concebidas para minimizar los posibles riesgos a la infraestructura y/o a la propia información.
La seguridad informática comprende software, hardware, redes de computadoras, y todo lo que la organización entienda y valore como un riesgo si la información confidencial involucrada pudiera llegar a manos de otras personas.
Bluejacking
El Bluejacking o bluehacking es un método de hacking que permite a una persona enviar mensajes anónimos a dispositivos compatibles con Bluetooth dentro de un radio determinado. En primer lugar, el hacker explora su entorno con un dispositivo compatible con Bluetooth en búsqueda de otros dispositivos, enviando un mensaje no solicitado a los dispositivos detectados. Este tipo de invasiones sin la previa aceptación de la otra persona puede ser considerado un delito dependiendodel país donde se realice este acto.
Metodologías de Pruebas de Penetración
Las Pruebas de Penetración son un intento legal y autorizado de localizar y explotar satisfactoriamente los sistemas de cómputo, con el propósito de hacerlos más seguros, este procedimiento implica probar las vulnerabilidades y proporcionar pruebas de concepto de los ataques, para demostrar que las vulnerabilidades son reales, es un proceso que es utilizado para ayudar a asegurar las computadoras y redes de futuros ataques.
Existen diferentes metodologías y frameworks de pruebas, que ayudan a seguir la mejor estrategia para realizar una prueba de penetración satisfactoria.
· OSSTMM (Open-Source Security Testing Methodology Manual). Proporciona una metodología para una exhaustiva prueba de seguridad, está diseñada para ser consistentes y repetible. Incluye un marco de trabajo que describe las fases que habría que realizar para la ejecución de la auditoría.
· ISSAF (Information Systems Security Assessment Framework). Realiza un análisis detallado de todos los posibles aspectos que afectan al testeo de seguridad. La información contenida dentro de ISSAF, se encuentra organizada alrededor de lo que se ha dado en llamar “Criterios de Evaluación”, cada uno de los cuales ha sido escrito y revisado por expertos en cada una de las áreas de aplicación.
· Open Web Application Security Project (OWASP). El objetivo de este proyecto es crear conciencia acerca de la seguridad en aplicaciones mediante la identificación de algunos de los riesgos más críticos que enfrentan las organizaciones.
Bluesnarfing
El Bluesnarfing es el robo de información desde un dispositivo inalámbrico a través de una conexión Bluetooth. Mediante la explotación de una vulnerabilidad en la forma de Bluetooth un atacante puede acceder a la información de otro dispositivo, tales como el calendario del usuario, lista de contactos y el correo electrónico y mensajes de texto, sin dejar ninguna evidencia del ataque.
Protocolos de Redes y Seguridad – RFC
El Request for Comments (RFC) es un documento numérico en el que se describen y definen protocolos, conceptos, métodos y programas de Internet. Son un conjunto de documentos que sirven de referencia para la comunidad de Internet, que describen, especifican y asisten en la implementación, estandarización y discusión de la mayoría de las normas, los estándares, las tecnologías y los protocolos relacionados con Internet y las redes en general. La sucesión de protocolos TCP/IP representa un conjunto de normas redactadas por una organización llamada IETF. En la siguiente tabla se muestran algunos de los RFC más utilizadas.
	Especificación
	RFC
	Protocolo UDP (Protocolo de datagrama de usuario)
	RFC768
	Protocolo IP
	RFC791
	Protocolo ICMP (Protocolo de mensajes de control de Internet)
	RFC792
	Protocolo TCP (Protocolo de control de transmisión)
	RFC793
	Protocolo FTP (Protocolo de transferencia de archivos)
	RFC959
	Correo electrónico
	RFC822
	Protocolo Telnet
	RFC854
	Protocolo NNTP (Protocolo de transferencia de noticias a través de la red)
	RFC977
	Netbios
	RFC1001
	Protocolo SLIP (Protocolo de línea serial de Internet)
	RFC1055
	MIB
	RFC1156
	TCP/IP
	RFC1180
	Preguntas frecuentes para principiantes
	RFC1206
	Preguntas frecuentes para usuarios experimentados
	RFC1207
	Glosario de la red
	RFC1208
	RFC (petición de comentarios)
	RFC1325
	MIME (Extensiones multipropósito de correo Internet)
	RFC2045, RFC2046 y RFC2047
	Asignación de direcciones IP para Intranet
	RFC1597
	Protocolo PPP (Protocolo punto a punto)
	RFC1661
	Números de puerto
	RFC3232
	Protocolo HTTP
	RFC2068
	Protocolo LDAPv3
	RFC2251
	Protocolo SMTP (Protocolo simple de transferencia de correo)
	RFC2821
War Room – Cuarto de guerra
Son Salas diseñadas para la visualización y monitoreo de riesgos o emergencias en un país, estado, o empresa, así como el monitoreo de las personas o inmuebles afectados por alguna situación. El objetivo principal de estos espacios es que los usuarios puedan centralizar la información de alguna emergencia, la solicitud de recursos, planificar y ajustar respuestas o labores de acciones a realizar para tomar decisiones y actuar de forma oportuna, eficiente y eficaz. En ellas se puede monitorear, declarar alertas, activar algún plan de crisis y tomar decisiones para responder ante emergencias o desastres.
Foot printing
El footprinting es el proceso de recogida de información en internet sobre algo muy concreto. Se trata de un concepto relacionado con la seguridad informática, ya que, en general, está ligado a los métodos empleados por los hackers informáticos. Aunque no siempre: es una técnica que también utilizan investigadores, periodistas, académicos, estudiantes, etc. 
Las principales huellas que quedan cuando buscamos un objetivo concreto (direcciones IP, cuentas de correo de los usuarios, credenciales, impresoras, metadatos…) también son información valiosa. Pueden ayudarnos a localizar los datos bancarios de un defraudador, la identidad de un ciberacosador o conseguir documentos desprotegidos. Así pues, cuando hacemos footprinting podemos trabajar a favor de la seguridad informática o en contra de ella. Con esto podemos dividir el foot printing en dos formas: 
· Pasivo: Obtener información de recursos públicos disponibles, como páginas web, noticias, artículos y perfiles de compañía.
· Activo: Usar métodos más intrusivos para acceder a datos sensibles, como hackear sistemas o aplicar técnicas de ingeniería social.
Reconnaissance
Reconnaissance es la fase de obtención de información en el hacking ético, donde se recolecta información sobre el sistema del objetivo, esta información puede incluir desde la infraestructura de red hasta detalles de contacto de los empleados. La meta es identificar todos los posibles ataques potenciales.
La información recolectada puede incluir: políticas de seguridad, infraestructura de la red, información de los empleados e información del host objetivo.
Scanning
El Scanning se trata de una lectura de exploración, de escaneo, para localizar algún dato concreto. Se trata de una lectura muy útil cuando se trata de situar una información específica en un texto que ya conocemos, evitando tener que leerlo completo. En el ámbito de la informática podría emplearse por ejemplo el scanning en puertos.
El término escáner de puertos o escaneo de puertos se emplea para designar la acción de analizar por medio de un programa el estado de los puertos de una máquina conectada a una red de comunicaciones. Detecta si un puerto está abierto, cerrado, o protegido por un cortafuegos.
Se utiliza para detectar qué servicios comunes está ofreciendo la máquina y posibles vulnerabilidades de seguridad según los puertos abiertos. También puede llegar a detectar el sistema operativo que está ejecutando la máquina según los puertos que tiene abiertos. Es usado por administradores de sistemas para analizar posibles problemas de seguridad, pero también es utilizado por usuarios malintencionados que intentan comprometer la seguridad de la máquina o la red.
Enumeration
Enumeración o enumeration es extraer nombres de usuario válidos de un sistema, nombres de máquinas, nombres de acciones, nombres de directorios y otra información. Es un componente clave de la piratería ética y las pruebas de penetración, ya que puede proporcionar a los atacantes una gran cantidad de información que se puede utilizar para explotar las vulnerabilidades. También puede definirse como la recopilación de información detallada sobre los sistemas de destino, como los detalles de la infraestructura operativa y de red. La enumeración puede utilizarse de manera ofensiva y defensiva.
Enumeración es uno de los pasos más importantes en la piratería ética, ya que da a los hackers la información necesaria para lanzar un ataque. Por ejemplo, los hackers que quieren descifrar contraseñas necesitan conocer los nombres de usuario de usuarios válidos en ese sistema.
Troyanos
Se trata de un programa malicioso que se hace pasar por algo legítimo oinofensivo para intentar acceder a la computadora o dispositivo móvil de la víctima y realizar distintos tipos de acciones maliciosas. Pueden venir ocultos bajo muchas formas, desde un archivo de audio (WAV o MP3), un archivo ZIP o RAR, una extensión para el navegador, un instalador de un software legítimo, un archivo de actualización o una app para el teléfono, entre otras tantas. 
Los troyanos pueden ser utilizados por un atacante para varios fines maliciosos, como abrir puertas traseras (backdoors), tomar control del dispositivo de la víctima, sustraer datos del equipo infectado y enviarlos al atacante, descargar y ejecutar en la computadora o dispositivo de la víctima software malicioso adicional, entre otras acciones. Al basar su éxito en la simulación y en la necesidad de que el usuario ejecute el archivo, los troyanos se caracterizan por una alta utilización de técnicas de ingeniería social.
Backdoors
En informática un backdoor es un tipo de virus diseñado para dar acceso a usuarios maliciosos al control de un equipo infectado de manera remota, estas “puertas traseras” permiten al usuario malicioso controla el equipo infectado, pudiendo enviar y recibir archivos, ejecutarlos o eliminarlos, mostrar mensajes, borrar o robar datos, reiniciar el equipo, etc. Uno de los usos más habituales de los softwares backdoor es agrupar cierto número de equipos infectados y formar una botnet o red zombi.
Los backdoors explotan una vulnerabilidad para entrar en el equipo de manera inadvertida y hacerse con el control de este para realizar todo tipo de actividades a través de ese equipo infectado o robar información sin que el usuario sea consciente. Por eso, los backdoors olvidados por los desarrolladores pueden suponer un auténtico problema de seguridad. Pero hay que decir que no todos los backdoors son malware y por tanto su presencia en sistemas y aplicaciones no tiene por qué ser peligrosa. Es habitual que se utilicen para realizar tareas de mantenimiento o actualización de dispositivos sin necesidad de la interacción del usuario o incluso permitir que un técnico acceda de manera remota para solucionar problemas en un equipo o programa.
Malware
Malware es un término que abarca cualquier tipo de software malicioso diseñado para dañar o explotar cualquier dispositivo, servicio o red programable. Los delincuentes cibernéticos generalmente lo usan para extraer datos que pueden utilizar como chantaje hacia las víctimas para obtener ganancias financieras. Dichos datos pueden variar desde datos financieros, hasta registros de atención médica, correos electrónicos personales y contraseñas. La variedad de información que puede verse comprometida se ha vuelto ilimitada.
Virus
Un virus informático es un tipo de programa o código malicioso escrito para modificar el funcionamiento de un equipo, además, está diseñado para propagarse de un equipo a otro. Los virus se insertan o se adjuntan a un programa o documento legítimo que admite macros a fin de ejecutar su código, en el proceso, un virus tiene el potencial para provocar efectos inesperados o dañinos, como perjudicar el software del sistema, ya sea dañando o destruyendo datos, robar contraseñas o datos, registrar pulsaciones de teclado, dañar archivos, enviar spam a sus contactos de correo electrónico e, incluso, tomar el control de su equipo.
Una vez que un virus se adjunta a un programa, archivo o documento, el virus permanecerá inactivo hasta que alguna circunstancia provoque que el equipo o dispositivo ejecute su código. Para que un virus infecte un equipo, se debe ejecutar el programa infectado, lo cual provocará que el código del virus se ejecute.
Worm y faceworm
Los gusanos son en realidad una subclase de virus, por lo que comparten características. 
El principal objetivo de los gusanos es propagarse y afectar al mayor número de dispositivos posible. Para ello, crean copias de sí mismos en el ordenador afectado, que distribuyen posteriormente a través de diferentes medios, como el correo electrónico o programas P2P entre otros. Los gusanos suelen utilizar técnicas de ingeniería social para conseguir mayor efectividad. Para ello, los creadores de malware seleccionan un tema o un nombre atractivo con el que camuflar el archivo malicioso. 
Este malware suele colapsar los ordenadores y las redes informáticas, impidiendo así el trabajo a los usuarios. A diferencia de los virus, los gusanos no infectan archivos.
Las redes sociales poseen huecos de seguridad, mismos que dan oportunidad para que toda clase de códigos maliciosos se infiltren en las cuentas e información de los millones de usuarios que los utilizan. Esta situación dibuja un panorama, en el que pronto las amenazas informáticas tendrán su propio sitio, el cual bien podría denominarse Faceworm.
Interceptar el Tráfico de Red
El interceptar el tráfico de red en forma maliciosa es un tipo de ataque se aprovecha de las vulnerabilidades que existen en los protocolos de la red.
Este método puede servir para provocar desajustes importantes en la red (ya que puede interceptar mensajes de control del router), e incluso para obtener nombres de usuarios y contraseñas para acceder a servicios.
Sniffing es un tipo de que ataque sirve de base para muchas otras intrusiones como por ejemplo un ataque de ‘objeto falso’ (en el que dos objetos intercambian información, cuando uno de ellos en realidad no es el objeto del cliente, sino un objeto intermedio que intercepta la información). El atacante ‘pincha’ de alguna manera la red, de modo que es capaz de interceptar el flujo de información a través de ella.
Filtración y Análisis de Paquetes
El filtrado de paquetes limita los servicios que se prestan a usuarios individuales cuando inician una sesión en una red. El filtrado de paquetes puede permitir o denegar el acceso según las direcciones IP de destino o los puertos, o ambos, incluso mediante el análisis de los paquetes entrantes y salientes y la transferencia o el descarte de estos según criterios determinados. Se pueden poner en vigor distintas políticas al definir múltiples conjuntos de reglas de filtrado de paquetes, teniendo cada uno de ellos su propio identificador de filtro PPP exclusivo. Las reglas de filtrado de paquetes se pueden asignar para un determinado perfil de conexión de receptor o bien se pueden asignar mediante una política de grupo que aplicará las reglas a esa categoría de usuario. 
Explotación de la Vulnerabilidad de Root Remoto
La explotación de una vulnerabilidad de root remoto permite a un usuario sin privilegios ejecutar comandos como si fuera otro usuario y con los máximos privilegios, lo que permitiría acceder al control completo del entorno a través de un host remoto.
Sniffers en el entorno Alambre – Inalámbrico
Un sniffer es una herramienta de software o hardware que permite al usuario supervisar su tráfico en Internet en tiempo real y capturar todo el tráfico de datos que entran y salen de su equipo.
Podemos decir que un sniffer es aquel que captura y analiza los paquetes que se envían y reciben de manera inalámbrica. Existen sniffers simples y otros más complejos, estos últimos incluso muestran gráficos de la conexión, datos de los paquetes capturados, e incluso estar implementados en otros programas que estemos usando en un equipo. 
Ingeniería Social
La ingeniería social es un conjunto de técnicas que usan los cibercriminales para engañar a los usuarios incautos para que les envíen datos confidenciales, infecten sus computadoras con malware o abran enlaces a sitios infectados. Además, los hackers pueden tratar de aprovecharse de la falta de conocimiento de un usuario acerca del valor real de los datos personales y no saben con certeza cuál es la mejor manera de proteger esta información.
Email Phishing
El phishing es un conjunto de técnicas que persiguen el engaño a una víctima ganándose su confianza haciéndose pasar por una persona, empresa o servicio de confianza para manipularla y hacer que realice acciones que no debería realizar. Los correos electrónicos de phishing intentanconvencer a los usuarios de que su origen es legítimo con la esperanza de que obtener información personal o datos de la empresa, para así obtener un beneficio a costa de la información que fue obtenida. 
Esteganografía
Es una técnica muy antigua, en la cual el autor del mensaje oculta la información en algo que parece inocente a simple vista. A diferencia de la criptografía, que cifra el mensaje para que no se pueda leer sin la clave de descifrado, el objetivo de la esteganografía es ocultar el mensaje de las miradas indiscretas. Al igual que con otros métodos de gestión de la información, la esteganografía también se utiliza en las tecnologías digitales.
Unos de los “contenedores” preferidos de los estenógrafos digitales son los archivos multimedia (imágenes, audios, vídeos, etc.) ya que, para empezar, suelen ser bastante grandes, lo que permite que el extra añadido sea más jugoso que en un documento de texto, por ejemplo.
Criptografía
La palabra criptografía es un término genérico que describe todas las técnicas que permiten cifrar mensajes o hacerlos ininteligibles sin recurrir a una acción específica. 
La criptografía se basa en la aritmética, consiste en transformar las letras que conforman un mensaje en una serie de números que serán sometidos a diversas operaciones para modificarlos y hacerlos incomprensibles. El resultado de esta modificación se llama texto cifrado. Por otro lado, es preciso garantizar que el receptor del mensaje pueda descifrarlo cuando lo reciba.
Firewall
Un firewall es un dispositivo de seguridad de la red que monitorea el tráfico de red entrante y saliente, decidiendo si permite o bloquea tráfico específico en función de un conjunto definido de reglas de seguridad. Los firewalls han constituido una primera línea de defensa en seguridad de la red durante más de 25 años. Establecen una barrera entre las redes internas protegidas y controladas en las que se puede confiar y redes externas que no son de confianza, como Internet. 
Tipos de firewalls
· Firewall proxy: Un firewall proxy funciona como gateway de una red a otra para una aplicación específica. Los servidores proxy pueden brindar funcionalidad adicional, como seguridad y almacenamiento de contenido en caché, evitando las conexiones directas desde el exterior de la red.
· Firewall de inspección activa: Se considera el firewall “tradicional”, permite o bloquea el tráfico en función del estado, el puerto y el protocolo. Monitorea toda la actividad desde la apertura hasta el cierre de una conexión. 
· Firewall de administración unificada de amenazas (UTM): Un dispositivo UTM suele combinar de forma flexible las funciones de un firewall de inspección activa con prevención de intrusiones y antivirus. Además, puede incluir servicios adicionales y, a menudo, administración de la nube.
· Firewall de próxima generación (NGFW): La mayoría de las empresas están implementando firewalls de próxima generación para bloquear las amenazas modernas, como los ataques de la capa de aplicación y el malware avanzado. Según la definición de Gartner, un firewall de próxima generación debe incluir las capacidades de firewall estándar, prevención de intrusiones integrada, control y reconocimiento de aplicaciones para ver y bloquear aplicaciones riesgosas, rutas de actualización para incluir futuras fuentes de información y técnicas para afrontar amenazas de seguridad en constante evolución.
Honeypots
En español “sistema trampa” o “señuelo”, está ubicado en una red o sistema informático para evitar un posible ataque al sistema informático. La función principal de esta herramienta es detectar y obtener información del ataque informático, y, sobre todo, de dónde procede, para posteriormente tomar las medidas de seguridad necesarias. 
Las herramientas Honeypot pueden estar diseñadas y programadas con diferentes y múltiples objetivos, estos son los siguientes:
· Alertar: El principal objetivo es detectar, no realiza ninguna acción más.
· Obtener información: Puede estar diseñada con el objetivo de obtener información sobre el ataque que está detectando, pero sin realizar ninguna acción más.
· Ralentizar: El objetivo es ralentizar el ataque que está detectando, pero sin realizar ninguna acción más.
· Combinación: Puede estar diseñada con el objetivo de alertar, obtener información, y ralentizar el ataque que está detectando.
IDS y IPS (Sistema de Detección de Intrusiones – Prevención de Intrusiones)
Un sistema de detección de intrusiones (IDS) es un software de seguridad que se encarga de monitorear la red y/o dispositivos conectados a la misma, para detectar intentos de acceso no autorizados y notificar al administrador del sistema, que será quien determine el tipo de respuesta o acción a tomar en base a la información recibida.
Un IDS es un sistema de seguridad reactivo, en tanto en cuanto alertan sobre una posible intrusión o una intrusión que se esté produciendo, pero no ponen en marcha ninguna medida o acción para bloquearla o mitigar su impacto. Las características de estos sistemas son las siguientes:
· Capacidad de analizar y reconocer desviaciones del funcionamiento normal de la red.
· Sistema automatizado y sin supervisión humana.
· No debe suponer una sobrecarga para los recursos del sistema.
· Debe seguir funcionando incluso ante una caída del sistema.
· Capaz de identificar el origen de los ataques.
· Deben suponer una auténtica barrera difícil de vulnerar para ser realmente efectivos en la detección de amenazas.
Por otro lado, un sistema de prevención de intrusiones (IPS) ayuda a las organizaciones a identificar el tráfico malicioso y bloquea de manera proactiva el ingreso de dicho tráfico a su red. En caso de detectarse amenazas, permiten tomar las medidas adecuadas según se define en la política de seguridad, como bloquear el acceso, poner en cuarentena a los hosts o bloquear el acceso a sitios web externos que puedan resultar en una posible filtración de seguridad.
Con ello, podemos definir que la diferencia entre los IDS e IPS es que mientras que los sistemas IDS monitorean la red y envían alertas a los administradores de red sobre amenazas potenciales, los sistemas IPS toman medidas más sustanciales para controlar el acceso a la red, monitorear los datos de intrusiones y evitar que se produzcan ataques.
Secuestro de Sesión SPAM
Un ataque de secuestro de sesión es aquel que ocurre cuando el atacante consigue apoderarse de alguna sesión web, esto con el fin de hacerse pasar por un usuario autorizado (suplantación de identidad) para acceder a un dominio, servidor, sitio web, aplicación web o red cuyo acceso está restringido mediante este tipo de ataque. 
Hay varias formas de hacer un secuestro de sesión, pero una de las más comunes se llama envenenamiento ARP, el cual consiste en enviar mensajes falsos que responden diciendo que la dirección IP del afectado ya se encuentra en la red, haciendo así creer que existe una sesión activa del afectado.
Denegación de Servicio DOS
Es una técnica que busca saturar un servicio o consumir los recursos de un sistema para que colapse y no pueda atender solicitudes. Se suele llevar a cabo con ataques de fuerza bruta y son principalmente dirigidos a un servicio en específico. Cualquier servicio digital o electrónico accesible de manera pública, puede ser atacado, ya sea un sitio web, un servicio de mensajería o una red telefónica o de Internet.
Si se realiza este ataque se pueden tener los siguientes impactos:
· Bloqueo parcial o total del servicio.
· Pérdida de información en un proceso de comunicación ya que el canal de comunicación está caído o saturado.
· Suplantación o alteración del servicio.
· Se pueden generar campañas de censura.
Ataques de Privilege Escalation
Los ataques de escalada de privilegios ocurren cuando los delincuentes explotan configuraciones incorrectas, errores, contraseñas débiles y otras vulnerabilidades que les permiten acceder a activos protegidos.
Un exploit típico puede comenzar cuando el atacante obtiene primero acceso a una cuenta con privilegios de bajo nivel.Una vez que hayan iniciado sesión, los atacantes estudiarán el sistema para identificar otras vulnerabilidades que puedan aprovechar más. Luego, utilizan los privilegios para hacerse pasar por los usuarios reales, obtener acceso a los recursos de destino y realizar varias tareas sin ser detectados.
Los ataques de escalada de privilegios son vertical u horizontal.
En los ataques verticales, el atacante obtiene acceso a una cuenta y luego ejecuta tareas como ese usuario. Para el tipo horizontal, el atacante primero obtendrá acceso a una o más cuentas con privilegios limitados y luego comprometerá el sistema para obtener más permisos para realizar funciones administrativas.
Hackear Servidores Web y Aplicaciones Web
Los atacantes suelen apuntar a los beneficios del software para obtener la entrada autorizada para el servidor. Analizamos algunas de las vulnerabilidades comunes que explotan los atacantes.
· Configuración por defecto: Los atacantes pueden adivinar estas configuraciones como identificación de usuario y contraseñas predeterminadas. La configuración predeterminada puede permitir que se aprovechen ciertas tareas, como ejecutar comandos en el servidor.
· Mala configuración de sistemas operativos y redes: Una determinada configuración, como permitir a los usuarios ejecutar comandos en el servidor, puede ser peligrosa si el usuario no tiene una buena contraseña.
· Errores en el sistema operativo y los servidores web: Los errores encontrados en el sistema operativo o en el software del servidor web también pueden explotarse para obtener acceso no autorizado al sistema.
· Falta de políticas y procedimientos de seguridad: La política y los procedimientos de seguridad, como la actualización del software antivirus, la aplicación de parches al sistema operativo y el software del servidor web, pueden crear lagunas de seguridad para los atacantes.
Hackear con archivos de imagen
Consiste en introducir código malicioso en el interior de archivos de imagen gracias a los píxeles que conforman este. Esto quiere decir que serían estos los que ayudarían a su codificación. Cada vez los usuarios son más susceptibles a abrir archivos ejecutables y poco a poco estos se han ido concienciando de que un adjunto en un correo electrónico o una red social puede terminar con el formateo del equipo y perdiendo información importante si se trata de un troyano que cifra parte de los archivos almacenados.
Ataques avanzados de inyección de SQL y Prevención
La inyección de SQL es un tipo de ciberataque encubierto en el cual un hacker inserta código propio en un sitio web con el fin de quebrantar las medidas de seguridad y acceder a datos protegidos. Una vez dentro, puede controlar la base de datos del sitio web y secuestrar la información de los usuarios. 
Los hackers recurren a los ataques de inyección de SQL con el fin de introducirse en la base de datos de un sitio web. A veces solo quieren eliminar datos para provocar el caos y, en otras ocasiones, lo que buscan es editar la base de datos, especialmente en el caso de sitios web financieros.
Tipos de inyecciones:
· Inyección de SQL mediante la introducción de datos del usuario: Es la forma más sencilla de perpetrar un ataque de inyección de SQL. Sin un saneamiento de entrada seguro, un formulario con campos para rellenar o un recuadro para poner comentarios constituyen una vulnerabilidad flagrante en cuanto a la inyección de SQL.
En lugar de completar los formularios con contenido y respuesta normales y corrientes, los hackers que utilizan la inyección de SQL hacen algo muy diferente: introducir una secuencia de comandos de código SQL. Cuando un sitio web con un saneamiento de entrada deficiente envía el contenido del formulario a su servidor, el código del hacker se ejecuta. Así es como los hackers usan la SQLI para robar los datos de los usuarios o trastocar el funcionamiento de un sitio web.
· Inyección de SQL mediante la modificación de cookies: Muchos sitios emplean cookies para seguir las actividades del usuario en Internet y en sus páginas. Utilizan la información obtenida con el seguimiento para llevar a cabo investigaciones de mercado y con fines publicitarios. Este segundo tipo de cookie es una herramienta de seguimiento web habitual.
Los ciberdelincuentes son capaces de manipular o modificar las cookies de manera que, cuando transmitan información al servidor del sitio web, envíen código SQL a la base de datos.
· Inyección de SQL mediante variables de servidor: El navegador solicita una lista de datos denominada variables de servidor que sirve para que el sitio se renderice correctamente. Un hacker astuto puede meter sigilosamente código SQL en las solicitudes del navegador, las cuales, si no se sanean debidamente, se inyectarán en la base de datos del sitio web, que se encuentra en el servidor.
Medidas de prevención ante las inyecciones SQL:
· No proporcionar información personal en sitios web sospechosos: Al introducir datos confidenciales, asegúrese de hacerlo solo en sitios web de confianza que cuenten con fuertes medidas de seguridad. 
· Manténgase informado de las noticias sobre seguridad tecnológica: Cuando se producen ataques de hackers y filtraciones en sus bases de datos, las empresas lo anuncian. 
· Acostúmbrese a crear contraseñas seguras: Si utiliza una contraseña distinta para cada cuenta, reducirá el riesgo. Siga las prácticas recomendadas de creación de contraseñas para ir siempre un paso por delante de los hackers.
· Utilice un administrador de contraseñas: Muchos administradores de contraseñas alertan al usuario cuando un sitio web que utiliza ha sufrido un ataque. Si es el caso, podrá cambiar rápidamente una contraseña difícil de averiguar por otra igual de segura. 
Ataque de Cross Site Scripting y Prevención
En español es conocido como secuencias de comandos entre sitios o simplemente como XSS. Se trata de una vulnerabilidad que afecta a los sitios web y que permitiría que un atacante coloque secuencias de comandos maliciosas en una página web legítima, esto con el fin de afectar al buen funcionamiento y a la fiabilidad de ese sitio.
Estos comandos pueden estar diseñados para colar malware a los usuarios a través del navegador, pero también para afectar el rendimiento de la página web. Para prevenir este tipo de ataques se recomienda lo siguiente:
· Instalar un buen antivirus: Son muchas las herramientas de seguridad que podemos agregar a nuestros equipos y de esta forma lograr que estén lo más protegidos posible. 
· Tener los equipos actualizados: Muchas de estas amenazas se basan en vulnerabilidades que aprovechan fallos en nuestro equipo. Debemos tener el software actualizado con las últimas versiones y corregir posibles problemas que pueda haber. 
· No visitar sitios que puedan ser inseguros: Evitar visitar sitios que puedan ser inseguros, como links de terceros y que nos muestre algo sospechoso, una página que no nos dé confianza puede tratarse de un sitio lleno de vulnerabilidades y que ha sido aprovechado por los atacantes. 
· Sentido común: Quizás sea la más importante de todas para evitar problemas. Debemos evitar errores que puedan comprometernos. Por ejemplo descargar archivos desde sitios que no sean fiables, instalar software que pueda ser ilegítimo, etc. 
En definitiva, estas son algunas acciones elementales que debemos poner en práctica para evitar ser víctimas de un ataque de Cross Site Scripting que podría poner en riesgo nuestros equipos a través del navegador y de visitar una simple web.
Ejecución de Código Shell en el Disco contra RAM
La palabra shellcode se refiere al código que inicia un shell de comandos, una instancia de un intérprete de línea de comandos, como el Shell, bin o sh en Linux o cmd.exe en Windows. Una shellcode se incluye en la carga útil (payload) al momento de explotar una vulnerabilidad. 
Atacar máquinas parchadas / Ataques día 0 / Ataques de VoIP
A menudo existen vulnerabilidades que los hackers detectan dejando sin oportunidad a los desarrolladores de implementar un parche para esa vulnerabilidad,por lo que es muy probable tener éxito al momento de explotar una vulnerabilidad de día 0. Por eso es importante actualizar los sistemas en cuanto se tengan disponibles los parches por parte del proveedor.
Por su propia naturaleza, VoIP enruta las llamadas a través de las mismas redes que otro tráfico de red e Internet. Esto lo deja abierto a las mismas vulnerabilidades. Por lo tanto, los atacantes pueden interceptar, capturar o modificar el tráfico. También pueden lanzar ataques dirigidos a la denegación de servicio, haciendo que el servicio no esté disponible para usuarios legítimos.
TCP Fuzzing con Scapy
Scapy es un programa diseñado para la manipulación de paquetes. Es capaz de forjar y decodificar paquetes de una gran cantidad de protocolos, enviarlos, capturarlos, cumplir con peticiones y respuestas. 
El fuzzing es una técnica que consiste en encontrar bugs dentro de una implementación usando malformadas o semi malformadas inyecciones de datos de forma automatizada.
Con Scapy se puede realizar fuzzing de DNS simplemente indicando que se utilizan paquetes DNS o también es posible realizar uno para TCP indicando el uso de paquetes TCP. 
Metodologías Defensivas
Entre las estrategias disponibles se encuentra la defensa en profundidad, la cual nace de un concepto militar en donde se pretende ralentizar el avance de un enemigo en lugar de pensar solo en un único método para detenerlo de forma absoluta. Por lo tanto, se busca afrontar los desafíos que plantean los atacantes practicando un enfoque de seguridad en múltiples capas.
Otro modelo últimamente implementado es el zero trust, una estrategia de seguridad de red basado en la filosofía de que ninguna persona o dispositivo dentro o fuera de la red de una organización debe tener acceso para conectarse a sistemas o cargas de TI hasta que se considere explícitamente necesario.
Gestión de Logs Administración de Parches y Configuración
La gestión de parches es el proceso de detectar, descargar, probar, aprobar e instalar parches nuevos o faltantes para todos los sistemas operativos y aplicaciones dentro de una red. La gestión de parches implica tener una vista centralizada de los parches aplicables para los endpoints en una red, a fin de poder clasificar los sistemas vulnerables, altamente vulnerables y saludables de un vistazo. Esto ayuda a detectar los sistemas que necesitan atención para que se puedan tomar las medidas adecuadas para proteger la red ante ataques cibernéticos.
Evidencias Digitales y Entornos Informáticos
Preparación
Los analistas y examinadores deben contar con herramientas a su disposición para para adquirir evidencia del host. Las herramientas tienen que ser de fuentes confiables con buena reputación y sean validadas como efectivas. Contar con el conocimiento para entender varios tipos de sistemas y ser apto para adquirir evidencia de estos. Algunas tareas requieren acceso de administrador, para eso es necesario que se nos proporcionen las credenciales para realizar estos tipos de actividades, nunca se agregan nuevas cuentas a un posible sistema comprometido esto puede causar que la evidencia sea inadmisible.
Orden de volatilidad
La volatilidad es utilizada para describir como la evidencia en un sistema se mantiene después de ciertos cambios, como cierre de sesión, apagado del sistema. Los datos que se pueden perder cuando se apaga el sistema, se le conoce como volátil. Los datos volátiles pueden ser tablas de escritura de la CPU o la caché ARP. Uno de los datos volátiles más importantes es la memoria RAM, por ejemplo, cuando investigamos infecciones de Malware, en la memoria RAM encontramos piezas claves de evidencia, sí se pierde esta información, perdemos artefactos como historial de registros comúnes (registros que estan, mientras el sistema este activo), historial de comandos y conexiones de red. Los datos no volátiles son los que se almacenan en el disco duro y pueden procesados fácilmente despues de apagar el sistema. Los datos no volátiles pueden ser las entradas de MFT (Master File Table), la información de los registros, y los archivos en el almacenamiento, estos son útiles cuando el Malware crea archivos.
Adquisición de evidencia
Existen distintos métodos para determinar qué tipo de adquisición se va a realizar, para escoger es importante entender el asunto y el tipo de adquisiciones que se pueden llevar a cabo en los distintos sistemas. Las organizaciones que realizan adquisición de la evidencia necesitan contar con un procedimiento que pueda ser reproducido y esté bien documentado.
Lineamientos para apropiada adquisición de evidencia
Cuando acudimos la escena tomar fotografías del sistema y la escena en general, por lo que un elemento clave es una cámara pequeña, un examinador puede llevar a cabo una apropiada reconstrucción de los eventos, tratar de tener un dispositivo exclusivo para tomar las fotos, el mejor método es tomar todas las fotos necesarias en un tiempo y lugar conveniente, y transferirlas a un almacenamiento permanente.
Si el sistema está apagado, no encenderlo, y si el sistema está encendido se deja encendido, ya que en ambos casos se realizan cambios en el sistema. Si el sistema está encendido, la memoria volátil está disponible para ser capturada, también es posible acceder los volúmenes del disco local aún si se encuentra encriptado. Si el analizador considera que el sistema es una amenaza para otros sistemas, lo puede desconectar de la red.
Adquirir la memoria RAM es un paso muy importante ya que tenemos acceso a procesos, dlls, y conexiones de red utilizadas.
Adquirir los registros y archivos logs, al ser no volátiles tener acceso cercano de inmediato nos puede ayudar cuando investigamos malware u otros tipos de explotación.
Desconectar la energía del sistema, si es un dispositivo que se puede transportar al laboratorio, procura llevar contigo el cargador y la batería.
Fotografiar la parte donde venga el modelo y los números de serie, permite al examinador obtener información necesaria para la cadena de custodia.
Fotografiar el disco duro (o dispositivo de almacenamiento), si es necesario remover la tapa que lo cubra, para capturar el modelo y el número de serie, nuevamente para la cadena de custodia.
Remover el disco duro del sistema y colocarlo en una bolsa antiestática,
Asegurar el disco duro en un sobre sellado o una caja, esto nos ayuda a notar intentos de acceder al dispositivo de almacenamiento. La bolsa y la caja deben ser etiquetadas.
Documentar todas las acciones, asegurarse de registrar las fechas y tiempos, por lo general el reporte se realiza al último y pueden pasar días antes de llegar hasta ahí, por lo que facilita al examinador la reestructuración de los eventos.
Examinación forense del medio
El examinador tiene control sobre el ambiente en que se lleve a cabo la examinación forense. Es necesario ser metódico y minucioso cuando se lleva a cabo cualquier acción relacionada con examinación forense digital. Ninguna acción va a suceder al menos que el examinador forense tenga la intención de que la acción ocurra.
HoaxXploit
El término Hoax hace referencia a programas que muestran información falsa. El principal motivo es forzar a las victimas a pagar por software o un servicio que no necesitan. Estos programas muestran varias notificaciones no deseadas provocando paranoia suficiente en la victima como para pagar.
Reconocimiento de intrusos 
Para llevar a cabo el reconocimiento de intrusos se puede realizar un proceso de forense digital. Forense digital es un proceso que involucra el uso de herramientas, técnicas y conocimiento para extraer evidencia potencial de los sistemas.
Identificación
Cuando dos objetos entran en contacto, dejan un rastro en cada uno. Identificar que y que no es posible recolectar evidencia para la investigación. Debido a posibles fallos en las herramientas, es importante identificar la evidencia que tenemos disponible y realizar un plan a partir de ella.
Checklists de inicio
El objetivo de las checklists es obtener información de alto nivel y tener mejor nociónde lo sucedido. También ayuda a identificar otras fuentes de evidencia. La checklist se puede modificar de acuerdo con nuestro criterio, con el fin de hacerla más apropiada para la organización y uso en nuestra investigación.
Resumen del incidente
Nos sirve para entrar en contexto con la situación. Consiste en ¿Quién?, ¿Qué?, ¿Cómo?, ¿Cuándo? y ¿Dondé?
Detección de incidente
La checklist de detección de incidente recopila los detalles de como se detectó el incidente. Por ejemplo, un usuario que no pudo acceder a los archivos, alerta de un antivirus, entre otros.
Detalles del sistema
Es importante la información del sistema operativo, el tipo de sistema, el proposito del sistema como Controladores de Dominio, SQL Databases, compartir archivos etc.., todas estas son diferentes y por ende representan distintos tipos de evidencias a las que podemos tener acceso.
Detalles de la red (si aplica)
Importante para conocer como está conectado, como acceden los usuarios a la red privada, si usan RDP, VPN, autenticación de múltiples factores para acceder a información sensible, con el objetivo de conocer como actuó el atacante.
Detalles de Malware (si aplica)
Con que estas lidiando, que variante es; si es uno nuevo o algún tipo de los ya identificados, si se trata de un ransomware o solo malware, si se auto propaga o requiere propagación manual, con tal de determinar que evidencia recolectar.
Preservación
Es como vamos a asegurar la evidencia de la modificación o de ser borrada, por ejemplo, en algunos dispositivos el almacenamiento para logs se encuentra limitado de modo que cualquier nuevo evento que ocurra producto de nuestras acciones borraría los antiguos logs para eso se puede poner permisos para que los logs no puedan ser modificados o borrados de los sistemas host, debemos de aislar los dispositivos afectados de la red, a través de controles físicos o lógicos, como no permitir a los usuarios el acceso a los sistemas sospechosos, y en virtual tomar snapshot del sistema o realizar una copia.
Recolección
Es el proceso de adquirir la evidencia de los sistemas identificados. La evidencia volatil, como la memoria RAM, es aquella que se puede perder cuando el sistema es apagado. La evidencia de red puede incluir conexiones activas o datos de logs, como memoria corriendo o la cache ARP. IETF-RFC 3227 Es una serie de lineamientos para la recolección y archivamiento de evidencia, en el cual viene listada la evidencia volátil, la cual debe ser tomada en cuenta para pasar esta evidencia de un medio volátil a uno no volátil. La lista es la siguiente: - Registros y cache - Tablas de enrutamiento, cache ARP, tabla de procesos, estadísticas del KERNEL, RAM - Archivos de sistema temporales - Disco - Inició de sesión remoto y datos de monitoreo - Configuración física, topología de la red - Archivos de medios
Manejo apropiado de evidencia
Las acciones realizadas por el examinador no deben alterar la evidencia, si alguna evidencia es "contaminada" esta no será admitida. Algunas tareas de recolección pueden modificar la evidencia, por lo tanto, se debe documentar las justificaciones para las alteraciones en la evidencia. Por ejemplo, en los celulares, estos vienen con restricciones físicas y de software, por lo tanto, es necesario realizar algunas modificaciones para acceder a la información. Es recomendable contar con permiso para llevar a cabo cualquier acción que impliqué modificaciones en datos del dispositivo, así como, la documentación debida especificando cada paso realizado. La documentación permite al examinador reconstruir la cadena eventos, incluso si esta es puesta en cuestionamiento.
Cadena de custodia (CoC)
Esta describe la documentación a través del ciclo de vida, el cual empieza desde que el individuo toma custodia de la evidencia hasta que el incidente es resuelto y la evidencia es regresada o destruida. Método electrónico Utilizar códigos de barras para cada pieza de evidencia, el escáner crea un registro conforme va leyendo los códigos de barras. Método a manita Uso de formularios que contengan la información necesaria, para empezar y mantener una Cadena de Custodia.
Examinación
Verificar la integridad de los datos, que la copia se haya hecho bit a bit correctamente. Es importante verificar la evidencia antes de confiar en ella, debido a que es posible para el atacante realizar modificaciones con el fin de despistarnos. Detallar las herramientas y técnicas especificas a utilizar para descubrir y extraer información de la evidencia. Por ejemplo, si necesitamos extraer información de una pieza de evidencia, por lo tanto, también es importante llevar a cabo la preservación, teniendo el mayor cuidado con el fin de evitar modificaciones durante la examinación.
Análisis
Una vez que se extrajo potenciales piezas de evidencia, el examinador la revisa en busca de más datos que aporten a la investigación, por ejemplo, si se detecta una conexión con una dirección IP sospechosa, entonces se puede usar como un punto de inicio para detectar el tráfico, entonces el examinador puede aislar ese tráfico. Otro ejemplo, es analizar por fechas, aislar la actividad realizada en el día que se detectó el incidente.
Presentación
Presentar las teorías o descubrimientos realizados incluso que no encontramos. El reporte debe ser exhaustivo, ser hechos claros, concretos y no podemos ser parciales con las declaraciones. El examinador requiere preparar un reporte detallado en el que venga cada acción y las partes de la evidencia que fueron claves.
Delitos informáticos en cuarentena: riesgo y soluciones del trabajo online
El recurrir al trabajo online derivado de una contingencia sanitaria, pudo haber sido beneficioso en ciertos casos, también trajo consigo riesgos que no existían en trabajos presenciales, un ejemplo, es que en los sitios presenciales se tienen barreras de seguridad por las que el usuario no se tiene que preocupar, sin embargo, al trasladarlo a su hogar, son asuntos que se deben concientizar. 
Por eso es importante la implementación de estrictos protocolos de seguridad, en las que el usuario tenga una gran participación siendo consiente de los riesgos que implica el trabajar desde casa.
Seguridad en la nube
La seguridad en la nube es el conjunto de tecnología, protocolos y buenas prácticas que protegen los entornos de computación en la nube, las aplicaciones que se ejecutan en la nube y los datos que se encuentran en ella. La seguridad de los servicios en la nube comienza con la comprensión exacta de qué es lo que hay que proteger, así como los aspectos del sistema que se deben administrar. Aparte de elegir un proveedor consciente de la seguridad, los clientes deben centrarse sobre todo en la configuración adecuada del servicio y en los hábitos de uso seguro
Delitos informáticos previstos en la legislación penal mexicana y la normatividad internacional
Código Penal Federal
Libro Segundo
Título Noveno - Revelación de Secretos y Acceso Ilícito a Sistemas y Equipos de Informática
Capitulo II - Acceso Ilícito a Sistemas y Equipos de Informática
El artículo 211 bis 1 establece que personas que no tengan autorización para acceder a información contenida en sistemas con mecanismos de seguridad serán condenadas de tres meses a un año de prisión y de cincuenta a ciento cincuenta días multa. En caso de modificar, destruir o realizar acciones que deriven en la perdida de la información se impondrán de seis meses a dos años de prisión y de cien a trescientos días de multa.
El artículo 211 bis 4 es lo mismo que el artículo 211 bis 1, pero aplicado a los equipos de informática de las instituciones que integran el sistema financiero.
El artículo 211 bis 5 establece que personas autorizadas para acceder a sistemas de instituciones financieras y realicen modificaciones, destruyan o provoquen la perdida de la información indebidamente, es decir, no tengan permiso para realizarlo, se le impondrán de seis meses a cuatro años de prisión y de cien a seiscientos días multa.
Ciberacoso/Cyberbullying
El ciberacoso puede ocurrir mediante mensajesde texto, por Internet en las redes sociales, foros o juegos. El ciberacoso incluye enviar, publicar o compartir contenido negativo, perjudicial, falso, o cruel sobre otra persona. Esto puede incluir compartir información personal o privada sobre alguien más, provocándole humillación o vergüenza. Algunos acosos por Internet pasan a ser un comportamiento ilegal o criminal.
Conclusiones
Con la realización de este trabajo de investigación pudimos conocer mas acerca de todo lo relacionado con los delitos informáticos, desde que son, quien los investiga, como se realiza la investigación, los tipos de delitos, prevenciones y herramientas que se utilizan para prevenirlos. Debido a esto, nos resulto bastante interesante conocer mas acerca de todo lo que esta relacionado a los delitos informáticos y también aclaro ciertas dudas que teníamos acerca de la información de ciertos delitos que creíamos conocer de manera adecuada.
Consideramos que es de bastante relevancia el conocer estos temas para nuestra formación, ya que nunca sabemos en que momento podemos ser blanco de potenciales ataques o inclusive ser aquellos encargados de dar prevención y solución a ciertos sistemas que puedan ser blanco de los ciberdelincuentes.
De igual manera, nos resulto mas claro el hecho de como hay que tener definidos procedimientos de prevención tanto en el sistema como en las reglas del negocio para minimizar la probabilidad de ocurrencia de afectación de nuestros sistemas ante estos delitos, todo con el fin de poder mantener la seguridad, integridad y disponibilidad de la información que se almacena en nuestros sistemas.
Referencias
Prevención del delito informático (2020, 24 enero). Disponible en: https://veigler.com/prevencion-del-delito-informatico/. Consultado el: 13/12/2022.
Sabotaje o daño informático (2005, 25 diciembre). Disponible en: https://derechoecuador.com/el-sabotaje-o-dantildeo-informaacutetico/. Consultado el: 14/12/2022. 
¿Qué es el ‘vishing’? Definición, tipos y recomendaciones de seguridad (2022, 14 junio). Disponible en: https://www.redseguridad.com/actualidad/cibercrimen/que-es-el-vishing-definicion-tipos-y-recomendaciones-de-seguridad_20220614.html Consultado el: 14/12/2022.
¿Sabes qué es el Robo de Identidad? (2016, 07 noviembre). Disponible en: https://www.gob.mx/condusef/articulos/recomendaciones-para-prevenir-el-robo-de-identidad. Consultado el: 14/12/2022.
¿Cómo sé si tengo un programa espía en mi celular? (2022, diciembre). Disponible en: https://www.argentina.gob.ar/justicia/convosenlaweb/situaciones/como-saber-si-tengo-un-programa-espia-en-mi-celular. Consultado el: 14/12/2022.
¿Qué es el Bluejacking y el bluesnarfing? (2019, 14 mayo). Disponible en: https://blog.corporacionbi.com/seguridad/que-es-el-bluejacking-y-el-bluesnarfing. Consultado el: 14/12/2022.
Metodologías y Frameworks para Pruebas de Penetración (2013, 30 diciembre). Disponible en: https://www.reydes.com/d/?q=Metodologias_y_Frameworks_para_Pruebas_de_Penetracion. Consultado el: 14/12/2022.
¿Qué son las RFC en redes? (2021, 8 febrero). Disponible en: https://es.ccm.net/contents/276-rfc-peticion-de-comentarios. Consultado el: 14/12/2022.
Salas de crisis (War Room) (s.f.). Disponible en: https://grupocovix.com/pages/salas-de-crisis-war-rooms. Consultado el: 14/12/2022.
¿Qué es el footprinting? Investigación y seguridad informática (2019, 07 febrero) Disponible en: https://fp.uoc.fje.edu/blog/que-es-el-footprinting-investigacion-y-seguridad-informatica/. Consultado el: 14/12/2022.
What Are Footprinting and Reconnaissance? (2022, 30 junio). Disponible en: https://www.eccouncil.org/cybersecurity-exchange/ethical-hacking/basics-footprinting-reconnaissance/ Consultado el: 14/12/2022.
Qué es un troyano en informática (2021, 14 mayo). Disponible en: https://www.welivesecurity.com/la-es/2021/05/14/que-es-virus-troyano-informatica/ Consultado el: 14/12/2022.
¿Qué es un backdoor y cómo eliminarlo? (s.f.). Disponible en: https://protecciondatos-lopd.com/empresas/backdoor/ Consultado el: 14/12/2022.
¿Qué es un virus informático? (s.f.). Disponible en: https://mx.norton.com/blog/malware/what-is-a-computer-virus Consultado el: 14/12/2022.
Evidencia Digital. (s.f.). Disponible en: https://ciberseguridad.com/servicios/analisis-forense/evidencia-digital/#%C2%BFQue_es_la_evidencia_digital 
Sniffer de red: qué es y cómo evitar que nos afecte. (2021, 16 abril). Disponible en: https://www.redeszone.net/tutoriales/seguridad/que-es-sniffer-red/ 
¿Qué es un sniffer y cómo puede protegerse? (2020, 14 mayo). Disponible en: https://www.avast.com/es-es/c-sniffer 
Ingeniería social: definición. (2018, 1 febrero). Disponible en: https://latam.kaspersky.com/resource-center/definitions/what-is-social-engineering 
Phishing. (2022, 2 diciembre). Disponible en: https://es.wikipedia.org/wiki/Phishing 
¿Qué es la estenografía digital? (2019, 4 julio). Disponible en: https://www.kaspersky.es/blog/digital-steganography/18791/ 
¿Qué es la criptografía? (2021, 29 enero). Disponible en: https://es.ccm.net/contents/129-que-es-la-criptografia#para-que-sirve-la-criptografia 
¿Qué es shellcode y como se usa? (s.f.). Disponible en: https://kryptonsolid.com/que-es-shellcode-y-como-se-usa/ 
¿Qué es un ataque de día cero?: definición y explicación. (s.f.). Disponible en: https://latam.kaspersky.com/resource-center/definitions/zero-day-exploit 
Ataques cibernéticos de VoIP y terminación de VoIP al mayor. (2018, 3 septiembre). Disponible en: https://www.idtexpress.com/es/blog/voip-cyber-attacks/ 
Modelo de seguridad Zero Trust. (s.f.). Disponible en: https://www.akamai.com/es/our-thinking/zero-trust/zero-trust-security-model 
Administración de parches con Endpoint Central. (s.f.). Disponible en: https://www.manageengine.com/latam/desktop-central/administracion-de-parches.html 
Hoax (Software). (s.f.). Disponible en: https://encyclopedia.kaspersky.com/knowledge/hoax/ Consultado el: 14/12/2022
4n6lady. (24 de enero de 2022). Acquiring evidence from a host. [Archivo de video]. Youtube. https://www.youtube.com/watch?v=42rwUnNWXb8 
Fuzzing Labs – Patrick Ventuzelo. (23 de noviembre de 2021). Fuzzing with Scapy: Introduction to Network Protocol Fuzzing. [Archivo de Video]. Youtube. https://www.youtube.com/watch?v=yrmPRYSEdg0 
4n6lady. (10 de enero de 2022). Digital Forensic Process. [Archivo de Video]. Youtube. https://www.youtube.com/watch?v=AD2RuBbhcbY 
Delitos informáticos en cuarentena: riesgo y soluciones del trabajo online. (s.f.). Disponible en: https://archivo.consejo.org.ar/consejodigital/RC60/migliorisi.html
Qué es el ciberacoso (2021, 5 noviembre). Disponible en: https://espanol.stopbullying.gov/acoso-por-internet-1yqc/qu%C3%A9-es 
¿Qué es un firewall? (2016, 26 marzo). Disponible en: https://www.cisco.com/c/es_mx/products/security/firewalls/what-is-a-firewall.html#~tipos-de-firewalls 
¿Qué es y para qué sirve un Honeypot? (2022, 7 junio). Disponible en: https://www.redeszone.net/tutoriales/seguridad/que-es-honeypot/ 
El sistema de detección de intrusiones (IDS). (2021, 28 septiembre). Disponible en: https://protecciondatos-lopd.com/empresas/sistema-deteccion-intrusiones-ids/#Que_es_el_sistema_de_deteccion_de_intrusiones_IDS 
¿Qué es un IPS (sistema de prevención de intrusiones)? (2022, 1 mayo). Disponible en: https://www.fortinet.com/lat/resources/cyberglossary/what-is-an-ips 
¿Qué es un ataque de secuestro de sesión? (2022, 27 abril). Disponible en: https://powerdmarc.com/es/what-is-a-session-hijacking-attack/#:~:text=Un%20ataque%20de%20secuestro%20de%20sesi%C3%B3n%20consiste%20en,que%20se%20han%20discutido%20a%20continuaci%C3%B3n%20en%20detalle%3A 
Denegación de servicios. (2020, 3 junio). Disponible en: https://protege.la/ataques/denegacion-de-servicios/ 
Ataques, técnicas de prevención y herramientas de escalada de privilegios. (2022, 9 marzo). Disponible en: https://geekflare.com/es/privilege-escalation-attacks/#:~:text=Los%20ataques%20de%20escalada%20de%20privilegios%20son%20vertical,cuenta%20y%20luego%20ejecuta%20tareas%20como%20ese%20usuario. 
Cómo hackear un servidorweb. (s.f.). Disponible en: https://ebooksonline.es/como-hackear-un-servidor-web/#Vulnerabilidades_del_servidor_web 
Hackean ordenadores utilizando archivos de imagen. (2015, 2 junio). Disponible en: https://www.redeszone.net/noticias/hogar/trucos-convertir-arbol-navidad-inteligente/ 
¿Qué es la inyección de SQL y cómo funciona? (2021, 7 diciembre). Disponible en: https://www.avast.com/es-es/c-sql-injection 
Cross Site Scripting: cómo los ciberdelincuentes usan esta técnica para robar datos. (2021, 22 mayo). Disponible en: https://www.redeszone.net/tutoriales/seguridad/ataque-cross-site-scripting-consejos/ 
2

Continuar navegando

Otros materiales