Peligros y Modos de Ataque en la Gestión de Seguridad

Vista previa del material en texto

ÍNDICE
Inyección SQL	5
Análisis:	5
Ejemplo de casos donde se produjo este tipo de ataque	6
Cabello troya	7
Algunos de los peligros y modos de ataque comunes asociados con los caballos de Troya son los siguientes:	8
Análisis	8
Ejemplos de caso donde se presentó el ataque actualizado y las soluciones dadas	9
Solución:	9
Sniffing	10
¿Cómo funciona el Sniffing?	10
Sniffing Pasivo	10
Sniffing Activo	10
Ejemplo de casos donde se presentó un Ataque Sniffing	11
Consecuencias del Ataque	11
Análisis	12
DDOS (denegación de servicio)	13
¿Cómo funciona un ataque DoS?	13
¿Cómo se puede saber si un ordenador está sufriendo un ataque DoS?	14
Tipos de ataques DDoS	14
Ataques volumétricos	14
Ataques de protocolo	15
Cómo defenderse frente a un ataque DDoS	16
Conclusión	16
Bibliografía	17
Introducción	
Existen distintos tipos de ataques informáticos que usan cibercriminales, en esta investigación hemos daremos a conocer algunos de ellos, algunos son conocidos, como el caballo de troya y la inyección SQL, ya que son unas de las más usadas y que se siguen usando actualmente, hemos reunido información para conocer un poco más sobre estos tipos de ataques, sus consecuencias y como son llevados a cabo y cómo defenderse de los mismos, por último se ha recogido información de casos reales donde se han presentado este tipo de ataques y como afectó a la empresa víctima.
Inyección SQL
Este tipo de ataque son producidos cuando el hacker introduce o inyecta al sitio web un código SQL malicioso, este tipo de malware que es conocido como la carga útil, consigue subrepticiamente que envié ese código a la base de datos como si de una consulta legitima se tratara. 
Estos ataques son producidos con el fin de poder entrar a una base de datos de un sitio web. Por lo que a veces solo quieren molestar al desarrollador eliminando datos o en otras ocasiones buscan editar esta base de datos como podría ser el de sitios web financieros ya que en el momento que el hacker logra tomar el control de esta base de datos se le hace muy fácil interferir en los saldos de las cuentas de los clientes y mandarse dinero a su cuenta.
Muy a menudo lo que los hackers quieren son los datos de inicio de sesión del usuario guardados en el sitio web. Estos datos pueden ser usados ya sea para realizar acciones por los usuarios o reunirlas en una lista y luego venderlas a otros hackers en la red oscura.
Análisis:
Este malware consiste en insertar un código malicioso en una base de datos, lo que hace que se ejecuten comandos no autorizados. Este malware consiste en manipular las consultas SQL que se envían a una base de datos con entradas de datos maliciosamente diseñadas.
Esto nos puede traer distintos problemas y riesgos a nuestra base de datos, tales como:
· Eliminación o modificación de datos: Pueden eliminar, modificar o corromper los datos de la base de datos, lo que nos haría perder datos o dañar la integridad de estos.
· Robo de datos: Esto es algo muy común ya que los atacantes con los datos de inicio de sesión reunidos los venden en una red oscura. Esto es algo muy común con los servicios de Netflix, Spotify, etc.
· Ejecución remota de comandos: Los atacantes podrían utilizar comandos en el sistema de servidor que aloja la base de datos para poder obtener un acceso completo al servidor y sus recursos.
· Escalada de privilegios: Si la aplicación web usa privilegios de base de datos poco restrictivos los hackers se pueden aprovechar de esto para poder obtener privilegios más elevados y poder acceder a las áreas sensibles del sistema.
Hay diferentes formas de prevenir estos ataques de inyección SQL en nuestra base de datos, como son:
· Utilizar consultas parametrizadas o declarativas 
· Implementar una validación y saneamiento de datos de entrada
· Mantener software actualizado con sus respectivas bibliotecas
· Implementar un sistema de registros y monitoreos para detectar posibles intentos de inyección SQL
· Capacitar a los desarrolladores sobre la seguridad y realizar diferentes pruebas de penetración para poder identificar vulnerabilidades
La inyección SQL es una amenaza seria para la seguridad de aplicaciones web y sistemas basados en una base de datos. Poder prevenir y concientizar sobre esto es esencial para poder mitigar el riesgo de esta vulnerabilidad y proteger los datos de nuestros usuarios.
Ejemplo de casos donde se produjo este tipo de ataque
· Base de datos central de salud de Estonia (2020)
En 2020, Estonia, una nación pacífica del norte de Europa con una destacada reputación en gobierno digital y tecnología, se enfrentó a un ciberataque sin precedentes. A pesar de su experiencia en el campo, no pudo evitar un ataque de inyección SQL dirigido a la Base de Datos Central de Salud, que albergaba información delicada sobre la salud de sus ciudadanos.
Los ciberdelincuentes lograron comprometer los historiales médicos de la mayoría de los ciudadanos estonios, lo que tuvo un impacto profundo en términos de confianza pública y violación de la privacidad. Aunque el alcance del daño financiero aún no se ha revelado, la exposición de datos sensibles provocó una seria preocupación tanto para los individuos afectados como para las entidades gubernamentales.
En respuesta a esta grave amenaza, Estonia actuó rápidamente, implementando medidas de ciberseguridad más sólidas y sistemas avanzados de detección de amenazas para prevenir futuros ataques similares.
A pesar de que los responsables del ataque siguen siendo desconocidos, el incidente sirvió como un importante recordatorio para todo el mundo sobre la necesidad de tener protocolos de ciberseguridad robustos para proteger la información privada. La rápida respuesta, la capacidad de recuperación y el compromiso demostrado por Estonia en materia de seguridad digital se convirtieron en un ejemplo para otras naciones que también enfrentan constantemente las amenazas cibernéticas.
Cabello troya 
Un caballo de Troya, o troyano, es un tipo de código o software malicioso que parece legítimo al entrar en contacto con nuestros dispositivos, pero que puede tomar el control de estos, ya que está diseñado para dañar de diferentes formas tanto los dispositivos como la red o los datos del sistema. Los troyanos a veces se denominan virus troyano o virus caballo de Troya, sin embargo, este nombre no es apropiado. Esto se debe a que los virus pueden ejecutarse y replicarse por sí mismos, pero los troyanos no pueden hacerlo, sino que necesitan la intervención humana.
 Los troyanos esconden diferentes finalidades diseñadas por los piratas informáticos y son frecuentemente utilizados para realizar ataques de ransomware, robar información personal o financiera a través de software espía, etc. En definitiva, la característica principal de los troyanos es que son softwares maliciosos que entran en los equipos y dispositivos de manera encubierta, ocultos tras programas o archivos legítimos como documentos de trabajo, programas de ofimática, fotos, etc. para proporcionar acceso no autorizado al sistema infectado, buscando dañar de alguna manera a la víctima.
Algunos de los peligros y modos de ataque comunes asociados con los caballos de Troya son los siguientes:
1. Robo de información: Los caballos de Troya pueden estar diseñados para robar información confidencial del usuario, como credenciales de inicio de sesión, números de tarjetas de crédito, información bancaria y otros datos personales.
2. Control remoto: Un caballo de Troya puede abrir una puerta trasera en el sistema, lo que permite que un atacante tome el control remoto del dispositivo comprometido. Esto puede llevar a realizar actividades maliciosas como instalar malware adicional, robar información o utilizar el sistema comprometido en ataques a otros sistemas.
3. Ransomware: Los caballos de Troya pueden desencadenar la descarga e instalación de ransomware en el sistema, lo que cifra los datos y exige un rescate para su desbloqueo.
4. Suplantación de identidad: Los caballos de Troya pueden utilizarse para falsificar la dirección de correo electrónico delusuario o para enviar mensajes engañosos que parecen provenir de fuentes confiables.
5. Distribución de malware: A menudo, los caballos de Troya se utilizan para instalar otros tipos de malware en el sistema, como virus, gusanos o troyanos bancarios.
6. Destrucción de datos: Algunos caballos de Troya están diseñados para borrar o corromper datos en el sistema comprometido, lo que puede causar pérdidas significativas para el usuario o la organización.
Análisis 
Para protegerse contra los Caballos de Troya y otros ataques, es fundamental contar con una sólida estrategia de seguridad cibernética que incluya el uso de software antivirus actualizado, evitar descargar software de fuentes no confiables, estar atento a correos electrónicos y mensajes sospechosos, y mantenerse informado sobre las últimas amenazas y técnicas de ataque. Además, es esencial educar a los empleados y usuarios sobre las prácticas seguras en línea y la importancia de no ejecutar archivos o programas desconocidos.
Ejemplos de caso donde se presentó el ataque actualizado y las soluciones dadas
BackOrifice fue un famoso caballo de Troya lanzado en 1998 por el grupo hacker conocido como Cult of the Dead Cow (CDC). Se disfrazaba como un software legítimo y permitía a los atacantes acceder de forma remota a sistemas Windows comprometidos sin que el usuario afectado lo supiera. Esto les otorgaba control total sobre la máquina, lo que podría utilizarse para espiar, robar información, o incluso dañar el sistema.
Solución:
Para hacer frente a la amenaza de BackOrifice y otros caballos de Troya similares, se han implementado diversas soluciones a lo largo del tiempo:
Uso de software de seguridad: La instalación de software antivirus y firewalls puede ayudar a detectar y bloquear la actividad maliciosa asociada con los caballos de Troya.
Mantener el software actualizado: Parchear y mantener actualizados los sistemas operativos y el software instalado reduce las vulnerabilidades que los atacantes pueden explotar.
Educación y concientización del usuario: Enseñar a los usuarios sobre las prácticas seguras de navegación y descarga puede reducir la probabilidad de que descarguen o ejecuten inadvertidamente un caballo de Troya.
Escaneo de archivos descargados: Utilizar herramientas de escaneo de malware para examinar archivos descargados antes de abrirlos o ejecutarlos puede ayudar a identificar y bloquear los caballos de Troya conocidos.
Sniffing 
¿Cómo funciona el Sniffing?
Un ataque de sniffing, también conocido como intercepción de paquetes, tiene lugar cuando los paquetes que pasan por una red son monitorizados, capturados y, a veces, analizados, son un tipo de ataque que permite a los hackers interceptar y recopilar datos transmitidos a través de una red. Estos ataques son peligrosos porque les permiten a los atacantes acceder a información confidencial, como tus datos bancarios, usuarios y contraseñas de tus correos electrónicos o redes sociales y comprometer la seguridad de la red en sí misma. 
Existe el sniffing pasivo y el sniffing activo:
Sniffing Pasivo
Recoge los datos que pasan a través de un nodo, mientras el hacker permanece inactivo. Para llevar a cabo este tipo de ataque, solo se coloca el rastreador en un hub de internet (un dispositivo que sirve para conectar equipos y aparatos en red), para capturar todo el tráfico que pasa por el mismo, pero no existen mecanismos reguladores que dirijan el tráfico a su destinatario. 
Como todos los dispositivos del concentrador reciben la totalidad del tráfico de la red, el sniffer se limita a absorber de forma pasiva, lo que se envía. Esto lo convierte un sniffing muy complicado de detectar.
Sniffing Activo
Al conectar dispositivos adicionales a un hub, los niveles de tráfico más altos pueden volverse “saturados”. Los switches de red regulan el tráfico dentro de una red enviando datos específicamente al dispositivo destinado a recibirlos. Esto permite al hacker espiar el tráfico del switch. Los ataques de sniffing activo incluyen ataques de spoofing, envenenamiento de DNS, ataques de DHCP, MAC Flooding, MAC spoofing, entre otros.
Ejemplo de casos donde se presentó un Ataque Sniffing
Ataque a la red de Sony Pictures:
En 2014, los hackers utilizaron una técnica de sniffing para interceptar el tráfico de red de Sony Pictures y robar información confidencial, incluyendo correos electrónicos, guiones de películas y datos financieros.
Esta productora, que es una de las más grandes e importantes en el mundo del cine y la televisión en la actualidad y desde hace varias décadas, se ha convertido en el objetivo de los ataques informáticos de un grupo desconocido de hackers, quienes se han hecho con gran parte de su base de datos, y están revelando cuanta información y películas consideren en la web, para exponer los secretos del titán de las películas. 
El hecho es, que este grupo conocido como #GOP logró acceder a la intranet de Sony Pictures y se hizo con un sinfín de información, desde contraseñas hasta "varios Terabytes" de archivos y documentos internos de la compañía, además del acceso anticipado a varias películas que aún no han sido estrenadas en cartelera.
Consecuencias del Ataque
La primera consecuencia que se pudo ver en la red fue la filtración de 5 películas de Sony Pictures que aún no han sido estrenadas, obtenidas gracias a las copias internas que manejan estas empresas para enviar a personas o agencias en específico. Las películas filtradas fueron:
· Fury, protagonizada por Brad Pitt
· Annie, protagonizada por Cameron Diaz
· Mr. Turner, con Timothy Spall
· Still Alice, protagonizada por Julianne Moore
· To Write Love on Her Arms, con Rupert Friend
Liberaron una serie de documentos internos relacionados a los salarios de algunos ejecutivos, incluyendo el CEO De la compañía, Michael Lynton, que gana 3 millones de dólares al año, además de las quejas y condiciones de trabajo de muchos empleados.
Su descuido es tan grande que incluso almacenaban las contraseñas de todos sus perfiles en redes sociales y su base de datos en documentos para Word y Excel.
Análisis
Hemos visto que este tipo de ataques se basa en el análisis de datos en comprometer una red, monitoreando redes, hacer diagnósticos y detectar problemas que presentan la red analizada, recolectando datos de todo lo que haces en tu red (páginas a las que ingresaste, contraseñas escritas, etc), debemos evitar conectarnos a cualquier tipo de red abierta. 
Como evitar ser víctima del sniffing:
· Usar plataformas de mensajería y correo electrónico encriptadas, sabemos que VPN encripta tu tráfico de internet, pero puede no ser suficiente si tus aplicaciones o plataformas de mensajería no están encriptadas de extremo a extremo.
· Prestar atención a las webs que visitas, debemos fijarnos si estas empiezan por HTTPS o HTTP y si tienen un candado verde junto a sus URL. Las webs HTTPS tienen los llamados certificados SSL/TLS que verifican la autenticidad de la web y que su tráfico esté cifrado.
· Realiza escaneos regulares en tus redes informáticas para identificar a cualquier intruso. Los administradores de la red pueden emplear diversas técnicas para descubrir y atrapar a los intrusos antes de que puedan causar cualquier tipo de daño. Por ejemplo, pueden supervisar el ancho de banda o monitorizar los dispositivos que estén configurados de forma incorrecta.
DDOS (denegación de servicio)
Un ataque de denegación de servicio (DoS) es un tipo de ciberataque en el que un actor malicioso tiene como objetivo que un ordenador u otro dispositivo no esté disponible para los usuarios a los que va dirigido, interrumpiendo el funcionamiento normal del mismo. Los ataques DoS suelen funcionar al sobrecargar o inundar una máquina objetivo con solicitudes hasta que el tráfico normal es incapaz de ser procesado, lo que provoca una denegación de servicio a los usuarios de la adición. Un ataque DoS se caracteriza por utilizar un único ordenador para lanzar el ataque.
¿Cómo funciona un ataque DoS?
El objetivo principal de un ataque DoS es sobrecargar la capacidadde una máquina objetivo, lo que da lugar a una denegación de servicio a solicitudes adicionales. Los múltiples vectores de ataque de los ataques DoS pueden agruparse por sus similitudes.
Los ataques DoS suelen ser de dos categorías:
· Ataques de desbordamiento de búfer
Un tipo de ataque en el que se produce un desbordamiento de búfer de la memoria puede hacer que una máquina consuma todo el espacio disponible en el disco duro, la memoria o el tiempo de la CPU. Esto suele provocar un comportamiento lento, caídas del sistema u otros comportamientos perjudiciales para el servidor, que acaba provocando una denegación de servicio.
· Ataques de inundación
Al saturar un servidor objetivo con una cantidad abrumadora de paquetes, un actor malicioso es capaz de sobrecargar la capacidad del servidor, lo que provoca una denegación de servicio. Para que la mayoría de los ataques de inundación DoS tengan éxito, el actor malicioso debe tener más ancho de banda disponible que el objetivo.
¿Cómo se puede saber si un ordenador está sufriendo un ataque DoS?
Aunque pueda ser difícil separar un ataque de otros errores de conectividad de red o de gran consumo de ancho de banda, hay algunas características que pueden indicar que se está produciendo un ataque.
Los indicadores de un ataque DoS incluyen:
· Rendimiento atípico de la red, como tiempos de carga de archivos o sitios web demasiado largos
· La imposibilidad de cargar un sitio web concreto, como tu propiedad web
· Pérdida repentina de conectividad en los dispositivos de la misma red
Tipos de ataques DDoS
Los ataques DDoS se pueden clasificar en tres tipos principales: ataques volumétricos o basados en volumen, ataques de protocolo y ataques a la capa de aplicación. Algunos de los ejemplos más comunes de ataques DDoS son los ataques de amplificación de DNS, inundación SYN e inundación UDP.
Ataques volumétricos
Los ataques volumétricos tienen como objetivo saturar el ancho de banda del recurso o servicio objetivo. También se conocen como «ataques basados en volumen». Al enviar una gran cantidad de tráfico mediante una red de robots o botnet, los atacantes ralentizan o impiden el flujo de tráfico de los usuarios reales.
Estos son algunos tipos habituales de ataques volumétricos o basados en volumen:
· Amplificación de DNS. En los ataques de amplificación de DNS, los atacantes falsifican la dirección IP de su objetivo para enviar una gran cantidad de solicitudes y conseguir que los servidores DNS respondan. Al responder, los servidores DNS generan una gran cantidad de tráfico que inunda los servicios de la organización.
· Inundación ICMP. En los ataques de inundación ICMP, los mensajes del protocolo ICMP (protocolo de control de mensajes de Internet o Internet Control Message Protocol, en inglés) se usan para sobrecargar el ancho de banda de la red del objetivo.
· Inundación UDP. En los ataques de inundación UDP, los ciberatacantes usan paquetes IP que contienen el protocolo de datagrama del usuario (UDP) para colapsar los puertos del host que es objeto del ataque. Este tipo de ataque DDoS se suele elegir para realizar ataques de ancho de banda de mayor tamaño.
Ataques de protocolo
Los ataques de protocolo tienen como objetivo consumir y agotar los recursos reales de los servidores y equipamiento intermedio como firewalls. También se conocen como «ataques basados en protocolo». Para ello los atacantes usan solicitudes de conexión maliciosas para vulnerar las comunicaciones del protocolo.
Estos son algunos tipos habituales de ataques de protocolo o basados en protocolo:
· Ping of Death. En los ataques Ping of Death o «Ping de la muerte» en español, los ciberatacantes envían un paquete de tamaño superior al máximo permitido para provocar una caída en el servidor al que se dirige el ataque. El paquete de tamaño superior al permitido se fragmenta en partes al ser transmitido al objetivo del ataque de modo que cuando el servidor objetivo intente volver a unir las partes, el tamaño excederá el límite y provocará un desbordamiento de búfer.
· Ataque DDoS Smurf. En ataques DDoS Smurf, los atacantes transmiten un gran número de paquetes ICMP usando una IP de origen falsificada, que pertenezca al objetivo del ataque, a una red de ordenadores mediante una dirección IP de difusión. Si hay un gran número de dispositivos en la red, las respuestas a la IP de origen podrían inundar de tráfico el ordenador objeto del ataque.
· Inundación SYN. En ataques de inundación SYN, los ciberatacantes usan un cliente infectado para enviar un gran volumen de paquetes SYN que nunca llegan a ser confirmados. Como el protocolo de control de transmisión (TCP) establece conexiones en varios pasos —sincronización, confirmación de la sincronización y confirmación final—, el servidor permanece a la espera de respuesta de numerosas conexiones TCP incompletas y tarde o temprano se queda sin capacidad para aceptar nuevas conexiones legítimas.
Cómo defenderse frente a un ataque DDoS
Para estar protegido frente ataques DDoS, las organizaciones necesitan contar con una buena estrategía anti-DDoS. Estos son algunos de los métodos que más se usan habitualmente para proteger servicios y aplicaciones frente a ataques DDoS:
· Difusión con red anycast. Usar una red anycast para diseminar el tráfico malicioso a través de una red de servidores distribuidos para que resulte razonable y se pueda gestionar.
· Filtración de agujeros negros (blackhole filtering, en inglés). Crear una ruta de agujeros negros a través de la cual canalizar el tráfico a una ruta inválida o un «agujero negro», haciendo así que abandone la red.
· Limitación de velocidad. Limitar el número de solicitudes que un servidor puede aceptar a lo largo de una ventana de tiempo. Cuando se detecta un elevado nivel de tráfico en el host, este solo será capaz de aceptar el tráfico que pueda gestionar, sin afectar a la disponibilidad.
· Reducción de la superficie del área expuesta a ataques. Minimizar la superficie del área que puede ser atacada para limitar los puntos de ataque y centrar la protección en un único lugar. Esto se puede hacer, en algunos casos, colocando los recursos detrás de balanceadores de carga o de una CDN. También restringiendo el tráfico de Internet directo a ciertas partes de la infraestructura.
· Despliegue de un firewall de aplicaciones web (WAF, por las siglas en inglés Web Application Firewall). Utilizar un firewall de aplicaciones web —defensa del protocolo de capa 7— para filtrar y monitorizar el tráfico HTTP entre una aplicación web e Internet.
No obstante, según la complejidad del ataque, podría ser necesaria una solución más compleja para hacer frente a un ataque DDoS.
Conclusión
Ya sabemos lo peligroso que pueden ser estos ataques informáticos y cómo prevenirlos, algunos de estos ataques pueden llevarse a cabo mediante sitios web, o redes wifi, tanto privadas como públicas, teniendo como consecuencia una gran pérdida de datos para nosotros como usuarios o para una compañía, dando la posibilidad al atacante de poder llegar a extorsionarnos por devolver nuestra propia información y evitar ser divulgada o simplemente venderlas sin autorización alguna. 
También vimos algunas de las formas en las que podemos evitar este tipo de ataques, sin embargo, debemos recordar que ningún sistema es realmente seguro por lo que debemos ser cuidadosos con la información que colocamos y manejamos en internet.
Bibliografía
Belcic, I. (22 de Septiembre de 2020). Avast. Obtenido de https://www.avast.com/es-es/c-sql-injection#topic-1
ctxdetectives. (s.f.). Obtenido de https://www.ctxdetectives.com/que-es-el-sniffing/
Dominguez, M. (6 de Marzo de 2023). CybersecurityNew. Obtenido de https://cybersecuritynews.es/que-es-y-como-protegerse-de-un-ataque-de-sniffing/
Klusaitė, L. (s.f.). Obtenido de NordVpn: https://nordvpn.com/es/blog/sniffer-que-es/
Livelli, F. M. (15 de Noviembre de 2022). Innovaciondigital360. Obtenido de https://www.innovaciondigital360.com/cyber-security/ataques-sniffer-que-son-y-como-protegerse/
Marin, E. (5 de Diciembre de 2014).Hipertextual. Obtenido de https://hipertextual.com/2014/12/sony-pictures-hackers
Moes, T. (Mayo de 2023). Obtenido de https://softwarelab.org/es/blog/que-es-la-inyeccion-sql/#:~:text=Base%20de%20datos%20central%20de%20salud%20de%20Estonia%20(2020),-Base%20de%20datos&text=Con%20un%20ataque%20de%20inyecci%C3%B3n%20SQL%2C%20los%20ciberdelincuentes%20comprometieron%20potenci