Ejercicios de página 90

Ejercicio 1:

Tipos de malware, clasificación, clases.Malware, abreviatura de software malicioso, es un término general utilizado para referirse a una variedad de formas de software hostil o intrusivo. Los ciberdelincuentes diseñan malware para comprometer las funciones de la computadora, robar datos, omitir los controles de acceso y causar daños a la computadora host, sus aplicaciones o datos.

Los investigadores clasifican los muchos tipos de malware de varias maneras diferentes, que incluyen:

El método de entrega o metodología de ataque. Los ejemplos incluyen descargas automáticas que distribuyen malware simplemente visitando un sitio web, correos electrónicos de phishing que engañan a las víctimas para que divulguen datos, ataques Man-in-the-Middle que toman el control de una computadora y secuencias de comandos entre sitios donde un atacante inyecta malware código en el contenido de un sitio web.

El tipo específico de vulnerabilidad que explota el malware. Los ejemplos incluyen la inyección SQL utilizada por los atacantes para obtener acceso o modificar datos, y la suplantación de dominio donde los malos actores seducen a los visitantes de la web para que hagan clic en los enlaces a sus anuncios o sitios web haciéndolos parecer otros sitios legítimos.

La meta u objetivo del malware. Por ejemplo, Ransomware tiene un objetivo puramente financiero, mientras que Spyware está destinado a capturar información confidencial o confidencial, y los Keyloggers capturan nombres de usuario y contraseñas.

Por la plataforma o dispositivo al que se dirige el malware, como el malware móvil, o los ataques que se dirigen a un sistema operativo específico.

El enfoque del malware al sigilo, o cómo intenta ocultarse. Los rootkits, que generalmente reemplazan los componentes legítimos del sistema operativo con versiones maliciosas, son un ejemplo.

Comportamientos y características específicas, como la forma en que el malware se replica y se propaga, u otros atributos que lo distinguen de otras formas de malware. Este es el método más común para clasificar el malware.

Una comprensión básica de cómo se clasifica el malware, como se describió anteriormente, es suficiente para la mayoría de los lectores. Entonces, renunciaremos a una descripción más detallada y exhaustiva.

Sin embargo, es esencial para cualquier persona involucrada en ciberseguridad tener al menos un conocimiento fundamental de las variedades de malware más importantes y comunes.

Los tipos de malware más importantes y comunes

La siguiente lista proporciona una descripción general.

Adware

Adware es el nombre dado a los programas diseñados para mostrar anuncios en su computadora, redirigir sus solicitudes de búsqueda a sitios web de publicidad y recopilar datos de marketing sobre usted. Por ejemplo, el adware generalmente recopila los tipos de sitios web que visita para que los anunciantes puedan mostrar anuncios personalizados.

Muchos consideran que el adware que recopila datos sin su consentimiento es adware malicioso. Otro ejemplo de adware malicioso son los anuncios emergentes intrusivos para supuestas soluciones para virus informáticos inexistentes o problemas de rendimiento.

Spyware

El spyware es, como su nombre lo indica, un software que te espía. Diseñado para monitorear y capturar su navegación web y otras actividades, el spyware, como el adware, a menudo envía sus actividades de navegación a los anunciantes. Sin embargo, el spyware incluye capacidades que no se encuentran en el adware. Puede, por ejemplo, también capturar información confidencial como cuentas bancarias, contraseñas o información de tarjetas de crédito.

Si bien no todo el spyware es malicioso, es controvertido porque puede violar la privacidad y tiene el potencial de ser abusado.

Virus de computadora

La característica principal de un virus informático es el software malicioso que los cibercriminales programan para reproducir. Por lo general, lo hace atacando e infectando archivos existentes en el sistema de destino. Los virus deben ejecutarse para hacer su trabajo sucio, por lo que se dirigen a cualquier tipo de archivo que el sistema pueda ejecutar.

Los virus han existido, al menos en concepto, desde los primeros días de las computadoras. John von Neumann realizó el primer trabajo académico sobre la teoría de los programas informáticos autorreplicantes en 1949. Los primeros ejemplos de virus reales aparecieron en los años 70.

Aunque su amenaza ha disminuido en los últimos años y otras formas de malware se han convertido en el centro de atención, los virus han sido la causa de una destrucción generalizada a lo largo de los años. Además de robar y corromper datos, consumen recursos del sistema, lo que a menudo hace que el sistema host sea ineficaz o incluso inútil.

Otra característica común a los virus es que son encubiertos, lo que los hace difíciles de detectar. Los virus llegan sin invitación, se esconden en secreto, se reproducen infectando otros archivos cuando se ejecutan y, por lo general, funcionan en la oscuridad.

Gusano

Como un virus, los gusanos son infecciosos y los cibercriminales los diseñan para replicarse. Sin embargo, un gusano se replica sin apuntar e infectar archivos específicos que ya están presentes en una computadora. Los gusanos se transportan en sus propios contenedores y a menudo limitan sus actividades a lo que pueden lograr dentro de la aplicación que los mueve. Usan una red informática para propagarse, confiando en fallas de seguridad en la computadora objetivo para acceder a ella, y roban o eliminan datos.

Muchos gusanos están diseñados solo para propagarse y no intentan cambiar los sistemas por los que pasan.

Troyano

Un troyano es un programa malicioso que se tergiversa para parecer útil. Los ciberdelincuentes entregan troyanos bajo la apariencia de un software de rutina que convence a una víctima para que lo instale en su computadora. El término se deriva de la historia del griego antiguo del caballo de madera utilizado para invadir la ciudad de Troya con sigilo. Los caballos de Troya son igual de mortales en las computadoras.

La carga útil puede ser cualquier cosa, pero generalmente es una forma de puerta trasera que permite a los atacantes el acceso no autorizado a la computadora afectada. Los troyanos también dan acceso a los ciberdelincuentes a la información personal de un usuario, como direcciones IP, contraseñas y detalles bancarios. A menudo se utilizan para instalar keyloggers que pueden capturar fácilmente nombres de cuentas y contraseñas, o datos de tarjetas de crédito, y revelar los datos al actor del malware. La mayoría de los ataques de ransomware se llevan a cabo utilizando un caballo de Troya, al alojar el código dañino dentro de un dato aparentemente inofensivo.

Los expertos en seguridad consideran que los troyanos se encuentran entre los tipos de malware más peligrosos en la actualidad, particularmente los troyanos diseñados para robar información financiera de los usuarios. Algunos tipos insidiosos de troyanos en realidad afirman eliminar cualquier virus de una computadora, pero en su lugar introducen virus.

Keylogger

Un registrador de pulsaciones de teclas, o registrador de teclas, registra cada entrada de pulsación de tecla realizada en una computadora, a menudo sin el permiso o conocimiento del usuario. Los keyloggers tienen usos legítimos como una herramienta profesional de monitoreo de TI. Sin embargo, el registro de pulsaciones de teclas se usa comúnmente con fines delictivos, capturando información confidencial como nombres de usuario, contraseñas, respuestas a preguntas de seguridad e información financiera.

Rootkit

Un Rootkit es un conjunto de herramientas de software, típicamente malicioso, que le da a un usuario no autorizado acceso privilegiado a una computadora. Una vez que se ha instalado un rootkit, el controlador del rootkit tiene la capacidad de ejecutar archivos de forma remota y cambiar las configuraciones del sistema en la máquina host.

Los rootkits no pueden autopropagarse ni replicarse. Deben instalarse en un dispositivo. Debido a dónde operan (en las capas inferiores de la capa de aplicación del sistema operativo, el núcleo del sistema operativo o en el sistema básico de entrada / salida (BIOS) del dispositivo con permisos de acceso privilegiados), son muy difíciles de detectar e incluso más difíciles. para eliminar.

Cuando se descubre un rootkit, algunos expertos recomiendan limpiar completamente el disco duro y reinstalar todo desde cero.

Phishing y Spear Phishing

El phishing es un delito cibernético en el que un objetivo o objetivos son contactados por correo electrónico, teléfono o mensaje de texto por alguien que se hace pasar por una institución legítima para atraer a la víctima a proporcionar datos confidenciales, como información de identificación personal, datos bancarios y de tarjetas de crédito, y contraseñas.

Técnicamente, el phishing no es un tipo de malware, sino un método de entrega que los delincuentes usan para distribuir muchos tipos de malware. Lo hemos enumerado aquí entre los tipos de malware debido a su importancia y para ilustrar cómo funciona.

A menudo, un ataque de phishing atrae a una persona a hacer clic en una URL infectada con malware que engaña a la víctima para que piense que está visitando su banco u otro servicio en línea. El sitio malicioso captura la identificación y contraseña de la víctima, u otra información personal o financiera.

Spear Phishing se refiere a un ataque que está dirigido a un individuo específico o un conjunto de individuos, como el CFO de una corporación para obtener acceso a datos financieros confidenciales. El “phishing” regular está dirigido a las masas.

Bots y Botnets

También conocidos como robots, los bots son programas maliciosos diseñados para infiltrarse en una computadora y responder y ejecutar automáticamente las instrucciones recibidas de un servidor central de comando y control. Los bots pueden autorreplicarse (como gusanos) o replicarse mediante la acción del usuario (como virus y troyanos).

Una red completa de dispositivos comprometidos se conoce como botnet. Uno de los usos más comunes de una botnet es lanzar un ataque de denegación de servicio distribuido (DDoS) en un intento de hacer que una máquina o un dominio completo no estén disponibles.

Ransomware

El ransomware es un tipo de malware que bloquea los datos en la computadora de la víctima, generalmente mediante encriptación. El cibercriminal detrás del malware exige el pago antes de descifrar los datos rescatados y devolver el acceso a la víctima.

El motivo de los ataques de ransomware es casi siempre monetario y, a diferencia de otros tipos de ataques, a la víctima generalmente se le notifica que se ha producido un ataque y se le dan instrucciones para realizar el pago para que los datos se restablezcan a la normalidad.

El pago a menudo se exige en una moneda virtual, como Bitcoin, para que la identidad del cibercriminal permanezca oculta.

Muchos más tipos de malware

La lista anterior describe solo los tipos más comunes de malware que se usan actualmente. En realidad, hay muchos tipos y variaciones adicionales de malware, y los ciberdelincuentes están desarrollando continuamente más, aunque la mayoría son simplemente nuevas técnicas para llevar a cabo uno de los objetivos descritos anteriormente.

En algún momento en el futuro, sin duda habrá un nuevo malware que no se parece en nada a las categorizaciones anteriores. Eso significa que aquellos de nosotros responsables de la seguridad de la red debemos ser siempre diligentes en la búsqueda de nuevos tipos de malware que no se ajusten al molde. Nunca podemos bajar la guardia.

La buena noticia es que la gran mayoría de las nuevas amenazas de malware que encontraremos caerán en una o más de las clasificaciones anteriores. El nuevo malware es en gran medida una variación de un tema antiguo.

Ejercicio 2:

Bonets: Los ataques que suelen realizar estos virus son infiltraciones en ordenadores y después la ejecución de las ordenes emitidas desde un ordenador central externo. Su utilización es ilegal y en la mayoría de  casos son utilizados para el robo de datos bancarios y la posterior sustracción del dinero.

Ejercicio 3:

A pesar de ser múltiples y varias las técnicas utilizadas por los ciberdelincuentes para manipular a sus víctimas, suelen seguir una serie de principios básicos:

• Respeto a la autoridad. Por norma general, nosotros como trabajadores y ciudadanos en general, respetamos la autoridad de nuestros superiores, bien sea dentro de la organización o en la vida cotidiana. Este tipo de ataques se basa en ese respeto que tenemos a nuestros responsables y a autoridades como las Fuerzas y Cuerpos de Seguridad del Estado.
• Voluntad de ayudar. Sobre todo en los entornos laborales, los trabajadores, generalmente, cuentan con esta voluntad de ayudar a los compañeros en todo lo posible. Por este motivo, los ciberdelincuentes pueden hacerse pasar por un falso empleado de la empresa. Otra variante utilizada, es hacerse pasar por un técnico de informática para instalar herramientas de acceso remoto no autorizado.
• Temor a perder un servicio. Esta técnica es habitualmente utilizada en campañas de phishing. Bajo el pretexto de existir repetidos accesos no autorizados, cambio en las políticas o cualquier otro engaño, los ciberdelincuentes fuerzan a la víctima acceder a una web fraudulenta donde roban información confidencial.
• Respeto social. En algunos casos, los ciberdelincuentes basan su estrategia en el miedo que tienen los usuarios a no ser socialmente aceptados o a perder su reputación. Esto es habitual en los correos de sextorsión, donde los ciberdelincuentes amenazan con difundir un supuesto video privado que en realidad no existe.
• Gratis. Este tipo de engaño se basa en ofrecer un producto o servicio gratis a cambio de información privada. Este tipo de fraude suele llevarse a cabo por medio de páginas web emergentes que suelen aparecer cuando se navega por sitios poco legítimos. También es común en mensajes de redes sociales o aplicaciones de mensajería.

Ejercicio 4:

Para entender qué es la ingeniería social inversa hemos de comprender primero la ingeniería social, ese dudoso arte mediante el cual un delincuente establece relaciones de confianza con sus objetivos, para posteriormente conseguir información confidencial que puede comprometer su seguridad

En la ingeniería social, el atacante es quien lleva el ritmo. Es activo y sigue una estrategia dividida en fases, de las cuales la primera es la de acumular información sobre los posibles objetivos en el entorno susceptible de ser atacado. Esto puede ser desde los nombres de los empleados de un departamento, pasando por sus números de teléfono, email y otros medios de contacto, hasta la ubicación del departamento y las más variadas informaciones.

Una vez con esos datos en su poder, el atacante intentará construir una relación de confianza. Es una fase delicada y que requiere de cierta paciencia porque la meta es conseguir una buena relación personal con la víctima.

Tras conseguir este objetivo, llega la manipulación psicológica. El atacante aprovecha la confianza ganada para obtener la información confidencial que le interese, de manera que pueda introducirse en el sistema objetivo con facilidad. Tras esto llega la fase de “salida” en la que el delincuente debe desaparecer sin dejar rastros y desviando la atención de su persona para no levantar sospechas.

En el caso de la ingeniería social inversa, el atacante es un sujeto pasivo. Es decir, no toma la iniciativa. Simplemente deja un rastro de migas de pan para que las víctimas potenciales muerdan su anzuelo y, de paso, revelen información valiosa al delincuente. En cierto sentido, la ingeniería social inversa es similar a una trampa diseñada para un cierto tipo de público objetivo.

Por lo general, será el usuario y probable víctima quien se acerque hasta la trampa. Puede ser una página web (un servicio de reparación de móviles, un consultorio o cualquier tipo de servicio que dependerá del colectivo al que se quiera “atacar”) o algo tan aparentemente inocente como una tarjeta de visita o un teléfono, un perfil de una red social…

En esos casos, el servicio al que accede la víctima potencial tiene una apariencia totalmente normal, genuina, y por tanto el usuario no sospecha nada hasta que es demasiado tarde. Existen múltiples ejemplos de ingeniería social inversa, pero los más conocidos pueden ser el phishing o la distribución de malware y, por tanto, aplican los consejos de estos ataques para la prevención de los ataques por ingeniería social inversa.

Ejercicios de la página 87

Ejercicio 1: Chema Alonso.

Chema Alonso es ingeniero informático de sistemas y Doctor en seguridad informática. Ha sido nombrado recientemente nuevo Chief Data Officer (CDO) de Telefónica. Anteriormente fue el Director de Eleven Paths, empresa filial de Telefónica Digital centrada en la innovación en productos de seguridad y de Global Security Business de Telefónica Business Solutions. Además, combina su actividad profesional con la docencia, conferencias y apariciones en medios de comunicación.Desde octubre de 1999 hasta abril de 2013 fue Consultor de Seguridad en Informática 64, una empresa de seguridad informática que fundó junto con Rodol. Desde febrero de 2012 hasta abril de 2013 fue Mentor de Talentum Startups en Telefónica Europe, donde realizó tareas en de apoyo técnicas en Wayra y participó en los programas Talentum.Desde septiembre de 2009 es Director del Máster de Seguridad de Información en la Universidad Europea de Madrid y realiza tareas de dirección, elaboración de contenidos y programas, tutorizar y dar clases del clases en el Máster de Seguridad en Tecnologías de la Información y las Comunicaciones.En enero de 2012 compró Cálico Electrónico y es Productor Ejecutivo del mismo desde entonces.

Para más información consultar esta pagina: http://porlasnochesleoachema.blogspot.com/2015/04/quien-es-chema-alonso.html 

Ejercicio 2:  RAID

RAID 0

Un RAID 0 (también llamado conjunto dividido o volumen dividido) distribuye los datos equitativamente entre dos o más discos sin información de paridad que proporcione redundancia. El mayor rendimiento del RAID 0 tiene sin embargo un coste, ya que si uno o varios de los discos fallan pueden ocurrir serias pérdidas de datos.

El gráfico muestra como los datos se distribuyen a lo largo del conjunto de discos.

Un ejemplo de recuperación de datos; un archivo ocupa las «stripes»o divisiones 1 – 4, si el disco 2 fallase y la división 2 se perdiese, el archivo se convertiría en corrupto. Es decir, que si un disco falla, el archivo bueno más grande tendría que ser más pequeño que el tamaño combinado de las divisiones restantes.

RAID 1

Este es el nivel RAID más básico en cuanto a «Data Mirroring» se refiere. Recordemos que el «Mirroring» consiste en crear una copia exacta (o espejo) de un conjunto de datos en dos o más discos. En el RAID 1, los datos del disco primario son duplicados en otro disco. Mediante esta operación no se mejora el rendimiento del sistema pero si un disco falla tendrá una copia de seguridad en el segundo disco.

RAID 0+1 y 1+0

Para mejorar el rendimiento del sistema y/o conseguir una mayor redundancia los niveles RAID estándar pueden combinarse entre sí.

Tal y como puede verse en el gráfico, estos dos niveles RAID son una combinación de RAID 0 y RAID 1. La diferencia entre los dos radica en la localización de cada RAID como puede observarse en el gráfico donde las divisiones o «stripes» se muestran en negrita.

El RAID 01 está configurado de tal manera que el RAID 0 posee una copia espejo.

La ventaja es que cuando un disco falla en uno de los niveles 0, los datos perdidos pueden ser transferidos desde el otro nivel. Sin embargo, añadir un disco duro extra a uno de los niveles implica añadir otro disco duro al otro nivel para mantener el equilibrio entre los dos niveles.

La desventaja de este tipo de configuración es que no es posible recuperar datos si se da un fallo simultáneo en dos discos, a menos que estos discos pertenezcan a la misma división o «stripe».

El RAID 10 está configurado de forma que el RAID 0 está dividido en dos RAID 1.

La gran ventaja del RAID 10 es que todos los discos menos uno en cada RAID 1 podrían fallar sin que se produjera ninguna pérdida de datos. Sin embargo, si el disco que ha fallado no se reemplaza, los discos restantes (los cuales funcionan correctamente) también fallarán.

RAID 2

EL RAID 2 divide los datos al nivel de bytes en lugar de a nivel de bloques. Utiliza un código de Hamming para la corrección de errores. Los discos son sincronizados por la controladora para funcionar al unísono. Éste es el único nivel RAID original que actualmente no se usa.

RAID 3 & 4

Los RAID 3 y 4 usan «data striping» con un disco de paridad dedicado, la diferencia entre los dos radica en que el RAID 3 divide los datos al nivel de bytes mientras que en el RAID 4 estas divisiones se efectúan al nivel de bloques.

RAID 5

El RAID 5 ha logrado popularidad por tener gracias a su bajo coste de redundancia. Este nivel usa una división de datos a nivel de bloques distribuyendo la información de paridad entre todos los discos miembros del conjunto.

Generalmente, el RAID 5 se implementa con un soporte hardware para el cálculo de la paridad que en la mayoría de los casos podrá ser efectuado de 4 formas; izquierda asimétrica, izquierda simétrica, derecha asimétrica y derecha simétrica.

En los RAIDs asimétricos la división de datos ignora la paridad, mientras que los simétricos son un poco más complejos con lo que respecta a la división de datos.

RAID 6

El RAID 6 es una extensión del RAID 5 ya que sigue la misma distribución de datos y paridad pero añadiendo otro bloque de paridad. La principal ventaja es que pueden darse dos fallos simultáneos en los discos sin que se sufra ninguna pérdida de datos. En RAIDS de pequeño tamaño, la probabilidad de que fallen dos discos simultáneamente es pequeña, por esta razón los RAID 6 solo se recomiendan en sistemas más grandes.