Tipos de Ataques Informáticos

Ataques activos, que producen cambios en la información y en la situación de los recursos del sistema.

Ataques pasivos, que se limitan a registrar el uso de los recursos y/o a acceder a la información guardada o transmitida por el sistema.

tiposdeataques

Actividades de reconocimiento de sistemas

Obtener información previa sobre las organizaciones y sus redes y sistemas informáticos, realizando para ello un escaneo de puertos para determinar qué servicios se encuentran activos o bien un reconocimiento de versiones de sistemas operativos y aplicaciones, por citar dos de las técnicas más conocidas.

Más información: Actividades_de_reconocimiento_de_sistemas

Detección de vulnerabilidades en los sistemas

Este tipo de ataques tratan de detectar y documentar las posibles vulnerabilidades de un sistema informático, para a continuación desarrollar alguna herramienta que permita explotarlas fácilmente (herramientas conocidas popularmente como “exploits”).

Robo de información mediante la interceptación de mensajes

Ataques que tratan de interceptar los mensajes de correo o los documentos que se envían a través de redes de ordenadores como Internet, vulnerando de este modo la confidencialidad del sistema informático y la privacidad de sus usuarios.

Modificación del contenido y secuencia de los mensajes transmitidos

En estos ataques los intrusos tratan de reenviar mensajes y documentos que ya habían sido previamente transmitidos en el sistema informático, tras haberlos modificado de forma maliciosa (por ejemplo, para generar una nueva transferencia bancaria contra la cuenta de la víctima del ataque). También se conoce como “ataque de repetición” (replay attacks).

Análisis de Tráfico

Estos ataques persiguen observar los datos y el tipo de tráfico transmitido a través de redes informáticas, utilizando para ello herramientas como los “sniffers”. Así, se conoce como “eavesdropping” a la interceptación del tráfico que circula por una red de forma pasiva, sin modificar su contenido.

Ataques de suplantación de identidad

La suplantación de identidad es un tipo de ataque que se realiza con la finalidad de robar información privada, como credenciales de acceso o números de tarjetas de crédito, normalmente para cometer distintos tipos de fraudes financieros. El atacante se hace pasar por una entidad de confianza, como un banco, un organismo gubernamental, un proveedor de servicios de Internet o un sitio web de renombre, e intenta engañar a los usuarios para que le faciliten su información privada.

IP Spoofing

Enmascaramiento de la dirección IP. Un atacante consigue modificar la cabecera de los paquetes enviados a un determinado sistema informático para simular que proceden de un equipo distinto al que verdaderamente los ha originado. Así, por ejemplo, el atacante trataría de seleccionar una dirección IP correspondiente a la de un equipo legítimamente autorizado para acceder al sistema que pretende ser engañado.

Hijacking

Secuestro de sesiones ya establecidas, donde el atacante trata de suplantar la dirección IP de la víctima y el secuestro de sesiones se podrían llevar a cabo determinadas operaciones en nombre de un usuario.

Man in the Middle

Intruso que intercepta la información que el usuario envía a través de la red, reenviándola otra vez al usuario destinatario.

DNS Spoofing

Pretenden provocar un direccionamiento erróneo en los equipos afectados, debido a una traducción errónea de los nombres de dominio a direcciones IP, facilitando la redirección de los usuarios de los sistemas afectados hacia páginas Web falsas o bien la interceptación de sus mensajes de correo.

Se este modo, se persigue “inyectar” información falsa en el base de datos del DNS, procedimiento conocido como “envenenamiento de la caché del servidor DNS”.

Cambios en el registro de nombres de dominio de InterNIC

InterNIC, la abreviatura de Internet Network Information Center, fue el principal organismo gubernamental de internet responsable de los nombres de dominio y las Direcciones IP, las asignaciones fueron hasta el 18 de septiembre de 1998, cuando este papel fue asumido por la ICANN.

La Corporación para la Asignación de Nombres y Números de Internet (ICANN) es responsable de la administración y coordinación del Sistema de nombres de dominio (DNS), a fin de garantizar que cada dirección sea única y que todos los usuarios de Internet puedan encontrar todas las direcciones válidas. Esto se logra mediante supervisión de la distribución de direcciones IP y nombres de dominio únicos. También garantiza que cada nombre de dominio se asocie a la dirección IP correcta.

Un intento de acceso no autorizado o mal realizado a los registros de la ICANN puede comprometer toda la Internet.

SMTP Spoofing

Consiste en suplantar la identidad con remitentes falsos de correo, de forma que se ponga en entre dicho la reputación de un remitente, e invadiendo el correo electrónico, este tipo de ataques lo suelen hacer los llamados “spammers”, que envía correos basura con falsa identidad.

El protocolo no lleva a cabo ningún mecanismo de autenticación cuando se realiza la conexión TCP al puerto asociado.

Spamming

Consiste en el envío masivo de un mensaje de correo a muchos usuarios destino, pudiendo llegar a saturarse los servidores de correo.

Suele emplearse para el envío no deseado de publicidad o información.

Algunas medidas para ataques de suplantación de identidad:

  • Ten cuidado con los mensajes de correo electrónico en los que te pidan que proporciones información confidencial.
  • Accede al sitio desde tu navegador en vez de hacer clic en enlaces de mensajes de correo electrónico sospechosos.
  • Si has entrado en un sitio en el que te piden que introduzcas información confidencial, busca información del sitio.

Captura de cuentas de usuario y contraseñas

“Snooping”

Se conoce como “snooping” a la técnica que permite observar la actividad de un usuario en su ordenador para obtener determinada información de interés, como podrían ser sus contraseñas.

Los programas que permiten realizar esta actividad se conocen con el nombre de “snoopers”, los cuales pueden ser troyanos u otros “parásitos” que monitorizan dispositivos.

Modificaciones del tráfico y de las tablas de enrutamiento

Los ataques de modificación del tráfico y de las tablas de enrutamiento persiguen desviar los paquetes de datos de su ruta original a través de Internet, para conseguir, por ejemplo, que atraviesen otras redes o equipos intermedios antes de llegar a su destino legítimo, para facilitar de este modo las actividades de interceptación de datos.

Conexión no autorizada a equipos y servidores

Consiste en llegar a validarse en un equipo saltándose todas las reglas de seguridad, de forma que podamos tener el control como administradores del sistema. Tendremos acceso a toda la información del equipo y a su configuración.

Métodos para una conexión no autorizada:

  • Violación de sistemas de control de acceso.
  • Explotación de exploits
  • Utilización de puertas traseras.
  • Utilización de “rootKits”
  • “Wardialing”, conexión a un sistema informático en forma remota a través de un modem.

Consecuencias de las conexiones no autorizadas a los sistemas informáticos

Las conexiones no autorizadas a los sistemas informáticos pueden acarrear graves consecuencias para la organización afectada por este tipo de ataques e incidentes.

  • Acceso a información confidencial guardada en el servidor.
  • Utilización inadecuada de determinados servicios por parte de usuarios no autorizados.
  • Transmisión de mensajes mediante un servidor de correo de usuarios ajenos a la organización.
  • Utilización de la capacidad de procesamiento de los equipos para otros fines.
  • Creación de nuevas cuentas de usuarios con privilegios administrativos, que faciliten posteriores accesos al sistema comprometido.
  • Almacenamiento de contenidos ilegales en los equipos.
  • Modificación o destrucción de archivos y documentos guardados en un servidor.
  • “Website vandalism”: modificación del contenido y de la apariencia de unas determinadas páginas web pertenecientes a la organización.

Introducción en el sistema de “malware” (código malicioso)

Se trata de un código malicioso o dañino susceptible de causar daños en las redes informáticas.

¿Qué es un virus?

Un virus es un código informático que se adjunta a sí mismo a un programa o archivo para propagarse de un equipo a otro. Infecta a medida que se transmite. Los virus pueden dañar el software, el hardware y los archivos. Virus Código escrito con la intención expresa de replicarse. Un virus se adjunta a sí mismo a un programa host y, a continuación, intenta propagarse de un equipo a otro. Puede dañar el hardware, el software o la información.

¿Qué es un gusano?

Un gusano, al igual que un virus, está diseñado para copiarse de un equipo a otro, pero lo hace automáticamente. En primer lugar, toma el control de las características del equipo que permiten transferir archivos o información. Una vez que un gusano esté en su sistema, puede viajar solo. El gran peligro de los gusanos es su habilidad para replicarse en grandes números. Por ejemplo, un gusano podría enviar copias de sí mismo a todos los usuarios de su libreta de direcciones de correo electrónico, lo que provoca un efecto dominó de intenso tráfico de red que puede hacer más lentas las redes empresariales e Internet en su totalidad. Cuando se lanzan nuevos gusanos, se propagan muy rápidamente. Bloquean las redes y posiblemente provocan esperas largas (a todos los usuarios) para ver las páginas Web en Internet.

¿Qué es un troyano?

Un troyano o caballo de Troya es un programa que se diferencia de los virus en que no se reproduce infectando otros ficheros. Tampoco se propaga haciendo copias de sí mismo como hacen los gusanos. Su nombre deriva del parecido en su forma de actuar con los astutos griegos de la mitología. Llegan al ordenador como un programa aparentemente inofensivo, pero al ejecutarlo instala en el ordenador un segundo programa: el troyano. Los efectos de los troyanos pueden ser muy peligrosos. Permiten realizar intrusiones o ataques contra el ordenador afectado, realizando acciones tales como capturar todos los textos introducidos mediante el teclado o registrar las contraseñas introducidas por el usuario. Troyano Programa informático que parece ser útil pero que realmente provoca daños.

Ataques de “Cross-site scripting” XSS

Es un tipo de inseguridad informática o agujero de seguridad típico de las aplicaciones Web, que permite a una tercera parte inyectar en páginas web vistas por el usuario código JavaScript o en otro lenguaje script similar (ej: VBScript), evitando medidas de control como la Política del mismo origen. Este tipo de vulnerabilidad se conoce en español con el nombre de Secuencias de comandos en sitios cruzados. Las vulnerabilidades XSS han existido desde los primeros días de la Web.

Ataques por inyección de código SQL

El ataque por inyección de código SQL se produce cuando no se filtra de forma adecuada la información enviada por el usuario. Un usuario malicioso podría incluir y ejecutar textos que representen nuevas sentencias SQL que el servidor no debería aceptar.

¿Qué Bases de datos son susceptibles a Inyección SQL?

  • Se ejecuta con privilegios de root por defecto
  • Volcado a ficheros con INTO OUTFILE MySQL
  • La ejecución de sentencias múltiples
  • Uso de procedimientos invocables desde la inyección
  • Anidamiento de consultas SELECT y uso de UNION posible Postgres
  • Uso de COPY posible como súper usuario

Ataques contra sistemas criptográficos

Persiguen descubrir las claves utilizadas para cifrar unos determinados mensajes o documentos almacenados en un sistema, o bien obtener información sobre el algoritmo utilizado.

Posibles ataques:

  • Ataques de fuerza bruta
  • Ataques de diccionario
  • Ataques contra el diseño del algoritmo
  • Ataques contra dispositivos de hardware o las aplicaciones (software) que lo implementen
  • Criptoanálisis lineal, diferencial, técnicas de análisis estadísticos de frecuencia, etc.

Fraudes, Engaños y Extorsiones

Los fraudes y estafas financieros a través de Internet se han hecho muy frecuentes en estos últimos años. Se utiliza el término de “phishing” para referirse al tipo de ataques que tratan de obtener los números de cuenta y las claves de acceso a servicios bancarios, para realizar con ellos operaciones fraudulentas que perjudiquen a los legítimos propietarios. Generalmente, se utilizan páginas Web falsas que imitan a las originales de los servicios bancarios que pretenden suplantar.

Pharming variante del phishing, los atacantes utilizan virus que conecta con las víctimas desde su ordenador o páginas falsas en lugar de las legítimas.

Salami: consiste en la repetición de gran cantidad de pequeñas operaciones, como transferencia bancarias de importe reducido.

Clickjacking: pretende que el usuario haga clic en un enlace o botón que en apariencia es inofensivo.

Ransom-ware: software malicioso cuyo fin es el lucro de su creador por medio de rescate.  Para ello, los atacantes codificaban los documentos afectados para impedir que su propietario los pudiera abrir, solicitando a continuación una suma de dinero en concepto de “rescate” para devolver al usuario el acceso a sus archivos.

Denegación del servicio (DoS – Denial of Service)

Consisten en distintas actuaciones que persiguen colapsar determinados equipos o redes informáticos, para impedir que puedan ofrecer sus servicios a sus clientes y usuarios.

Se pueden realizar:

  • Ejecutar actividades que consuman un elevado consumo de los recursos de las máquinas afectadas. Múltiples conexiones simultáneas.
  • Provocar el colapso de redes de ordenadores mediante la generación de grandes cantidades de tráfico.
  • Transmisión de paquetes de datos malformados o que incumplan las reglas de protocolo, para provocar caída de equipos.
  • Sabotaje mediante routers “maliciosos”, que se encargan de proporcionar información falsa sobre las tablas de enrutamiento que impidan el acceso a ciertas máquinas de red.
  • Activación de programas “bacteria”, cuyo objetivo es replicarse dentro de un sistema informático, consumiendo la memoria y la capacidad del procesador.
  • Envío masivo de miles de mensajes de correo electrónico (mail bombing).
  • Ataque reflector (reflector attack), que persigue generar intercambio ininterrumpido de tráfico entre dos o más equipos para disminuir su rendimiento.
  • Incumplimiento de las reglas e protocolo. Ejemplo:
    • Ping de la muerte (comando ping –l 65510 dirección_equipo_víctima)
    • Land Attack (error de implementación del protocolo TCP/IP de Windows)
    • Supernuke o Winnuke (ataque al sistema Windows que queda colgado)
    • Teardrop (envío de paquetes TCP/IP fragmentados de forma incorrecta)
    • SYN Food (incumplimiento de la regla de protocolo TCP/IP)

Otros tipos de ataque:

  • Connection Flood: establecer cientos o miles de conexiones simultáneas.
  • Net Flood: envío de tráfico masivo.
  • Smurf (pitufo): envío de gran cantidad de mensajes de control ICMP (Internet Control Message Protocol)
  • Bomba UDP: se considera un ataque del tio “reflector attack”, que emplea el protocolo UDP (User Datagram Protocol) y uno de los muchos servicios que responden paquetes que sirven para crear una congestión en la red.
  • Snork UDP: bomba UDP, contra sistemas Windows. Congestión de la red.

Ataques DoS contra aplicaciones WEB

  • Los ataques DoS contra aplicaciones web se pueden llevar a cabo de diferentes maneras: Cuelgue de la Inyección de código SQL para llamar comandos del sistema que paren la aplicación o los servicios.
  • Aplicación, Modificación y Destrucción de datos • ➔ CPU Consumo de • ➔ Ancho de Banda recursos • ➔ Memoria • ➔ Espacio en Disco

Ataques de Denegación de Servicios Distribuidos (DDoS)

Se llevan a cabo mediante equipos “zombis”. Los equipos zombis son equipos infectados por virus o troyanos, sin que sus propietarios lo hayan advertido, que abren puertas traseras y facilitan el control remoto por parte de usuarios remotos.

Estos usuarios maliciosos suelen organizar ataques coordinados, sin que sus propietarios y usuarios legítimos lleguen a ser conscientes del problema, para tratar de colapsar las redes y los servidores objeto del ataque. También se utilizan para los “spammers” difusión masiva de mensajes de correo no solicitado.

Botnets: alquiler de redes zombis.

TFN (Tribe Flood Net): herramienta de control de equipos zombis.

TFN2K: herramienta de control de equipos zombis.

Marcadores telefónicos (dialers)

Son pequeños programas que se encargan de marcar números telefónicos que dan acceso a algún tipo de servicio, con tarifa telefónica muy superior a la normal.

Etiquetado con: ,

Deja un comentario

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

*

Este sitio usa Akismet para reducir el spam. Aprende cómo se procesan los datos de tus comentarios.