ESCUELA SUPERIOR POLITÉCNICA

DE CHIMBORAZO

FACULTAD DE INFORMÁTICA Y
ELECTRÓNICA

ESCUELA DE INGENIERÍA ELECTRÓNICA EN

TELECOMUNICACIONES Y REDES

Seguridad de Redes de Comunicación

Ejemplos de Ataques

OCTAVO “A”

Realizado por:

Cristian Barriga - 604

10/11/2020

1. OBJETIVOS
 Objetivo General:

 Investigar con ejemplos los diferentes tipos de ataques existentes.

Objetivos Específico:

 Colocar 5 ejemplos de cada uno de los ataques a las aplicaciones, a la red y a

las aplicaciones.

2. Desarrollo

2.1 Ataques a los sistemas

2.1.1 Explotar bugs del software.

Utilizar fallos de seguridad en el software para atacar un sistema. Ejemplos:

 Heisenbug
Heisenbug es el nombre de uno de estos bichos y tiene su origen en el conocido “Principio
de Incertidumbre de Heisenberg”. Heisenberg estableció límites, más allá de los cuales los
conceptos de la física clásica no pueden ser empleados. Este principio afirma, por ejemplo,
que no se puede determinar simultáneamente la posición y la cantidad de movimiento de
una partícula. A veces se expresa esto como que el mismo acto de observar un experimento
altera los resultados. Los programadores utilizan el término “heisenbug” para denominar a
los errores que desaparecen o alteran su comportamiento al tratar de depurarlos. Esto ocurre
porque cuando se intenta encontrar un error dentro de un programa se suele utilizar alguna
herramienta -otro programa- o un estado de memoria diferente al habitual, lo que hace que
el entorno en que se ejecuta el software bajo prueba no sea el mismo y el error desaparezca
como por arte de magia, o “mute”, provocando efectos diferentes.

 Bohrbug
Los “Bohrbug”, denominados así por el modelo atómico de Bohr, es un tipo de error que se
encuentra en las antípodas del anterior. Los informáticos utilizan esta denominación para
aquellos errores que, no importa lo que se haga, mantienen un comportamiento constante.
Otra variedad bastante frecuente es el “Mandelbug”, fallos con causas tan complejas que su
comportamiento parece ser completamente caótico. La denominación se debe al conocido
conjunto fractal descubierto por Benoit Mandelbrot, un monstruo matemático de enorme
complejidad.

 Schroedinbugs

Los “Schroedinbugs” parecen sacados de una novela de ciencia ficción. Son errores que no
aparecen hasta que alguien lee el código y descubre que, en determinadas circunstancias, el
programa podría fallar. A partir de ese momento, el maldito “Schroedinbug” comienza
aparecer una y otra vez. Parece que algo así no puede existir, sin embargo, cualquiera que
haya participado de un desarrollo más o menos grande seguramente ha tenido que lidiar con
él. Su nombre se relaciona, por supuesto, con el físico Erwin Rudolf Josef Alexander
Schrödinger y su famosa paradoja conocida como “paradoja del gato de Schrödinger”. En
este caso, el error no se manifiesta hasta que el observador no sabe que está allí. Raro. Muy
raro. Pero real.

 Fantasma en el código

Suele esconderse en esas rutinas o subprogramas que rara vez se ejecutan. Su ubicación los
hace muy difíciles de identificar durante las pruebas previas al lanzamiento del programa, y
puede hacer que un producto fracase estrepitosamente al ser puesto a la venta. Aunque
parezca extraño que algo así pueda ocurrir, basta con recordar el problema que tenía el
microcódigo de los primeros microprocesadores Intel Pentium, que en determinadas
condiciones arrojaban resultados erróneos al dividir dos números. Ese bug logró sobrevivir
a todas las pruebas, y explotó cuando el chip ya estaba en la calle. Esperamos que esta
galería de bichos te haya resultado interesante, y te esperamos en el foro para que comentes
con cuales has tenido que medirte.

 MIM-104 Patriot (1991)

Es un misil antiaéreo que se utilizan también para la interceptación de misiles balísticos a

modo de defensa. Durante la Guerra del Golfo en 1991 un Scud iraquí mató a 28 soldados
al alcanzar un cuartel norteamericano ya que estos misiles fallaron. Se dictaminó que fue un
error de software en el reloj del sistema que se había retrasado un tercio de segundo por
haber estado activado 100 horas.

2.1.2 Romper Contraseñas

Fuerza bruta o ataques basados en diccionarios que permiten obtener las contraseñas de un
determinado servicio

 Ataque de diccionario

Este método consiste en intentar averiguar una contraseña probando todas las palabras del
diccionario. Suele ser un ataque más eficiente que un ataque de fuerza bruta, ya que
muchos usuarios suelen utilizar una palabra existente en su lengua como contraseña para
que la clave sea fácil de recordar, lo cual no es una práctica recomendable.

 Fuerza Bruta

En criptografía, se denomina ataque de fuerza bruta a la forma de recuperar una clave

probando todas las combinaciones posibles hasta encontrar aquella que permite el acceso.
Algunas de las consideraciones sobre ataques de fuerza bruta son las siguientes:

 Este es un proceso que requiere mucho tiempo.

  Eventualmente se encontrará todas las contraseñas.
 Los Ataques contra hashes NT son mucho más difíciles que para hashes LM.

 Ataque hibrido
Este tipo de ataque depende del ataque de diccionario. Existe la posibilidad de un usuario
podría cambiar su contraseña añadiendo algunos números a su antigua contraseña. En este
tipo de ataque, el programa agrega algunos números y símbolos a las palabras del
diccionario y trata de romper la contraseña. Por ejemplo, si la contraseña antigua es
"contraseña", entonces hay una posibilidad de que la persona que lo cambiará a
"contraseña1" o "contraseña2".

 Ataque de sílaba

Un ataque de la sílaba es la combinación de un ataque de fuerza bruta y un ataque de

diccionario. Esta técnica de cracking se utiliza cuando la contraseña no son una palabra
existente. Los atacantes utilizan un Diccionario y otros métodos para crackearlo. También
utiliza la combinación de cada palabra en el diccionario.

 Ataque basado en reglas

Este tipo de ataques se utiliza cuando el atacante obtiene información sobre la contraseña.
Por ejemplo, si el atacante sabe que la contraseña contiene un número de dos o tres dígitos, 
se puede utilizar técnicas específicas y extraer la contraseña en menos tiempo. Mediante la
obtención de información útil como el uso de los números, la longitud de contraseña y
caracteres especiales, el atacante puede fácilmente ajustar el tiempo para recuperar la
contraseña al mínimo y mejorar herramienta de craqueo para recuperar contraseñas. [1]

2.1.3 Barridos de Ping

Utilización del protocolo ICMP, para determinar los equipos activos de una red.

 NMAP

Existe versión tanto para Linux como para Windows,  en ambas versiones disponéis de un
manual con todas las instrucciones que es capaz de ejecutar, a continuación muestro las que
más utilizaremos:
La sintaxis será siempre:
> nmap (Tipo de análisis)(-opciones) (Dirección IP o rango de direcciones).

 IPSCAN,
nmap ofrece mejores prestaciones que ipscan pero  paso a explicarlo ya que es un programa
sencillo y potente, solo está disponible en plataformas Windows y nos servirá en más de
una ocasión ya que podremos realizar escaneos de rangos de ip y escaneado  de puertos en
una interfaz muy sencilla e intuitiva.
Nada más ejecutarlo nos mostrará la siguiente pantalla, en ella solo tendremos que
introducir el rango de ip que queremos escanear, en caso de no indicarle nada mas solo
escaneará los equipos activos y nos lo mostrará en el cuadro inferior.

 Fping

Es un programa como ping el cual utiliza paquetes ICMP Echo Request para determinar si
un objetivo responde. Fping difiere de ping en la especificación de cualquier número de
objetivos en la línea de comando, o especificar un archivo conteniendo una lista de
objetivos a los cuales hacer ping. En lugar de enviar hacía un solo objetivo hasta esperar
que venza el tiempo o responda, fping enviará un paquete ping y se moverá al siguiente
objetivo en un modelo “round-robín”. En su modo por defecto, si un objetivo responde, este
se anota y retira de la lista de objetivos a verificar; si el objetivo no responde dentro de un
cierto tiempo límite y/o reintento límite se le designa como inalcanzable. Fping también
permite enviar un número específico de pings hacia un objetivo, o realizar un bucle
indefinidamente (como en ping). A diferencia de ping, fping puede ser utilizado en scripts,
pues su salida está diseñada para ser fácil de interpretar.

 Escáner ARP
Un escáner con el protocolo ARP se puede hacer de forma bastante sencilla. Lo puedes
hacer normal o sin ARP como muestro en estos dos ejemplos respectivamente:

1 nmap -sP -PR 192.168.*.*

2 nmap -sn --disable-arp-ping 192.168.0.*

Nuevamente vuelvo a repetir, con este tipo de sondeo rápido y fiable por ARP, también
puedes jugar con rangos de puertos, rangos de IPs, nombres de dominio, etc. Los puedes ir
combinando como te plazca…

 Escáner FIN

Es un sondeo más agresivo. Ya sabes que existen tres tipos fundamentales de escaneo, el
NULL (-sN), FIN (-sF) y Xmas (-sX). El primero no activa ningún bit, el flag de la
cabecera de TCP es 0. En el segundo caso, que es el que nos importa para este ejemplo, se
usa el bit FIN. En el último caso, se usan los flags FIN, PSH y URG.
Unos ejemplos con FIN serían:

1 nmap -sF -T4 [Link]-8

2 nmap -sF -T2 [Link]

Por cierto, -T es para especificar templates de Timing. Los nombres son paranoid o 0,

sneaky o 1, polite o 2, normal o 3, agressive o 4 e insane o 5. Puedes especificar el que
necesites en cada momento, por ejemplo -T4 es el recomendado para una red local. Eso
puede ser en función de si quieres evadir ciertos mecanismos de defensa, según el ancho de
banda, etc.

2.1.4 DNS Spoofing

Falsificación de una entrada DNS, que apunta a un servidor no autorizado.

 En 2006, hackers desconocidos realizaron un gran ataque de spoofing de DNS, fue

el primero de este tipo, contra tres bancos locales en Florida. Los atacantes
hackearon los servidores del proveedor del internet que alojaba las tres páginas web
y redirigieron el tráfico hacia páginas de registro falsas, diseñadas para recoger
datos personales de víctimas inocentes. Esto les permitió recolectar un número no
revelado de números de tarjetas de crédito y pins, junto con otra información
personal de los clientes.

 En junio de 2018, los hackers llevaron a cabo un ataque de spoofing de DDoS de

dos días contra la página web de la aseguradora médica americana, Humana.
Durante el incidente, que se dijo que había afectado a al menos 500 personas, los
hackers consiguieron robar historiales médicos completos de los clientes de
Humana, incluidos los datos de su estado de salud, tratamientos recibidos y los
gastos relacionados.
 En 2015, hackers no identificados usaron técnicas de spoofing de DNS para
redirigir el tráfico desde la página oficial de Malaysia Airlines. La nueva página de
inicio mostraba la imagen de un avión con el texto “404- Avión No Encontrado”
sobre la pantalla. Aunque no robaron datos ni los pusieron en peligro durante el
ataque, se bloqueó el acceso a la página web y el estado de los vuelos durante varias
horas. Para impedir [4]

2.1.5 DOS

Ataque de negación de servicio, que consiste en saturar un sistema para impedir la correcta
utilización del mismo.

 Blended Flood (Ataque combinado).

Esto se da cuando múltiples tipos de ataques s e combinan en el servidor, lo cual al final

termina confundiendo al equipo. Debido a su complejidad, no pueden ser detenidos por
firewalls, switches, routers, ni dispositivos IPS (Intrusion Prevention System), a menos que
lo configuremos a conciencia, pero al ser ataques que mezclan las diferentes técnicas aquí
descritas es una tarea tremendamente compleja.

 Zero-day DDoS Attack (Ataques ‘Día Cero’).

Los ataques “Zero-day” o “Día-Cero” no son más que ataques novedosos o desconocidos
que explotan vulnerabilidades de las cuales aún no se han publicado correcciones o parches
(este término se aplica a cualquier vulnerabilidad, pero al existir tal cantidad de ataques
DoS o DDoS, lo incluyo para que se tenga presente).
Por lo que no es nada fácil defenderse de algo de lo que prácticamente no se sabe nada . Un
claro ejemplo de ataque Zero-day pueden ser aquellos relacionados con la vulnerabilidad
Stagefright de la que ya hablamos hace unos meses ya que se trata de una vulnerabilidad
conocida recientemente para la que aún no ha salido corrección o parche oficial, pero como
vimos en aquella publicación hay un par de trucos que nos pueden ayudar a evitar que
seamos afectados por un ataque.

 SYN Flood.

Así funciona la secuencia de conexión de tres pasos del protocolo SYN. Nosotros enviamos
una petición SYN para iniciar la conexión TCP que el host al que conectamos debe
responder con un paquete SYN-ACK para nosotros confirmarlo con una respuesta ACK. El
ataque comienza cuando ignoramos la petición ACK por parte de nuestro objetivo, este
mantiene las conexiones abiertas a la espera de respuesta y nosotros continuamos enviando
paquetes SYN, lo que provoca que dicha máquina siga enviando peticiones SYN-ACK;
saturando así el tráfico saliente y entrante del host . Los ataques SYN flood puede ser
detenido fácilmente con la implementación de firewalls, tanto de tipo hardware como
software.

 Slowloris
En el resto de tipos de ataques enviamos paquetes o solicitudes completas. Pero en esta
ocasión, lo que hacemos es enviar únicamente las cabeceras de las peticiones (HTTP en
este caso) , sin llegar a completar nunca una de estas al completo, con lo que cada “media-
petición” que enviamos queda abierta, a la espera de que terminemos de enviar la
información restante para completarla, lo que en poco tiempo acabará consumiendo los
recursos del servidor víctima y denegando el servicio al resto de peticiones legítimas.

 Ping of Death (Ping ‘de la Muerte’).

Por norma general una petición ping tiene un tamaño de 32 bytes (incluida la cabecera) y
los servidores no tienen ningún problema para gestionar las peticiones y enviar la respuesta
correspondiente legítimas.
Con el conocido como “Ping de la muerte” (Ping of Death o PoD), lo que hacemos
es enviar paquetes mediante ping, pero con un tamaño mucho mayor y a mayor
frecuencia de lo normal. [2]

2.1.6 Hijacking

Permite a un usuario robar una conexión de un usuario que ha sido autenticado en el

sistema.

 IP hijakers
Secuestro de una conexión TCP/IP por ejemplo durante una sesión Telnet permitiendo a un
atacante inyectar comandos durante dicha sesión.

 Page hijacking

Secuestro de página web. Hace referencia a las modificaciones que un atacante realiza
sobre una página web, normalmente haciendo uso de algún bug de seguridad del servidor o
de programación del sitio web, también es conocido como desfiguración.

 Reverse domain hijacking o Domain hijacking: secuestro de dominio

Browser hijacking: (Secuestro de navegadores en español). Se llama así al efecto de

apropiación que realizan algunos spyware sobre el navegador web lanzando popups,
modificando la página de inicio, modificando la página de búsqueda predeterminada etc. Es
utilizado por un tipo de software malware el cual altera la configuración interna de los
navegadores de internet de un ordenador. El término "secuestro" hace referencia a que éstas
modificaciones se hacen sin el permiso y el conocimiento del usuario. Algunos de éstos son
fáciles de eliminar del sistema, mientras que otros son extremadamente complicados de
eliminar y revertir sus cambios.

 Home Page Browser hijacking

Secuestro de la página de inicio del navegador. Esto sucede cuando la página de inicio, en
la que navegamos es cambiada por otra a interés del secuestrador. Generalmente son
páginas en las que nos invita a usar los servicios de la página para que nuestro equipo esté
seguro y funcione correctamente. No cabe decir que es a cambio de un pago y que el origen
del error y mal funcionamiento del equipo es debido a nuestro secuestrador
 Modem hijacking

Secuestro del Modem. Esta expresión es en ocasiones utilizada para referirse a la estafa de
los famosos dialers que tanta guerra dieron en sus días (antes del auge del ADSL) y que
configuran sin el consentimiento del usuario nuevas conexiones a números de cobro
extraordinario. [6]

2.1.7 Man in the Middle

 Ataques basados en servidores DHCP

En este ataque, el hacker usa su propio ordenador en una red de área local a modo de
servidor DHCP, que en resumidas cuentas sirve para asignar dinámicamente una dirección
IP y configuración adicional a cada dispositivo dentro de una red para que puedan
comunicarse con otras redes. En cuanto un ordenador establece la conexión con una red de
área local, el cliente DHCP reclama datos como la dirección IP local o la dirección de la
puerta de acceso predeterminada, entre otros.

Lo que buscan los hackers por esta vía es controlar las direcciones IP locales mediante el
servidor DHCP simulado, para utilizar en su favor las puertas de acceso y el servidor DNS
en los ordenadores víctimas y poder desviar el tráfico de datos saliente para interceptar y
manipular su contenido.

Por darle un nombre propio a este ataque, se le conoce en el mundillo como DHCP
spoofing. Pero la clave para que hablemos de un ataque MitM es usar la misma LAN que su
víctima, porque sino hablaríamos directamente de un ataque basado en un servidor DHCP.

 ARP cache poisoning

En este caso nos referimos al protocolo ARP, que permite resolver IPs en redes LAN
siempre que un ordenador quiera enviar paquetes de datos en una red. Para ello, es
imprescindible que conozca el sistema del destinatario. Cuando hace una petición ARP,
está enviando al mismo tiempo las direcciones MAC y la IP del ordenador que solicita la
información, como la dirección IP del sistema solicitado. Si es correcta toda la petición, la
asignación de direcciones MAC a IP locales se guarda en la caché ARP del ordenador
solicitante.

El objetivo del ataque ARP cache poisoning es dar respuestas falsas en el proceso para
lograr que el atacante use su ordenador como punto de acceso inalámbrico o entrada a
Internet. Si es exitoso, el ataque permite leer todos los datos salientes de los ordenadores
atacados, aparte de registrarlos o de manipularlos antes de enviarlos al lugar correcto.

 Ataques basados en servidores DNS

Este ataque tiene como objetivo manipular las entradas en la caché de un servidor DNS
haciendo que den direcciones de destino falsas. Si ha tenido éxito, los hackers pueden
mandar a los usuarios de Internet a cualquier página web sin que nadie se dé cuenta.

El proceso se inicia cuando los datos del sistema de nombres de dominio se distribuyen por
diferentes ordenadores de la red. Cuando alguien quiere acceder a una web lo suele hacer
usando un nombre de dominio. También necesita una dirección IP, determinada por el
router que tenga el usuario, para enviar la solicitud. Si hay entradas en la caché, el servidor
DNS emite la respuesta a la solicitud con la IP que proceda, y si no las hay el servidor
decidirá la IP con ayuda de otros servidores.
Para los hackers es fundamental centrarse en aquellos servidores que utilizan una versión
muy antigua del software de DNS, ya que si logran acceder a un servidor con estas
características, les resulta muy fácil dar registros falsos con cada dirección IP correcto,
“envenenando” la caché del servidor DNS. Para evitar estos ataques, los administradores de
sistemas tratan por todos los medios de actualizar el software de los servidores y que estén
protegidos como es debido.

 Ataque Man in the Browser

Por último, el ataque Man in the Browser consiste en que el atacante instala malware en el
navegador de los usuarios de Internet con la finalidad de interceptar sus datos. La principal
causa para verse infectado por este ataque es el hecho de tener ordenadores que no están
correctamente actualizados y que, por ello, ofrecen brechas de seguridad muy visibles que
dan camino libre para infiltrarse en el sistema. El malware incluye programas en el
navegador de un usuario de forma clandestina, registrando todos los datos que intercambia
la nueva víctima con las diferentes páginas web que visita. Los hackers obtienen con este
método la información que buscaban de forma muy rápida y sin demasiado esfuerzo. [3]

2.2 Ataques a la Red

2.2.1 Navegación Anónima.

 The Hidden Wiki

The Hidden Wiki es la casilla de salida de la Dark Web. Viene a ser como un servicio de
"Páginas amarillas" o "Teletexto" ya que funciona como índice de portales .onion
accesibles desde la red Tor. Su localización dentro de la red es muy difícil de encontrar
porque, por cuestiones legales, va cambiando de servidor y dominio constantemente.

Además, aunque se llegue a encontrar The Hidden Wiki no se puede acceder a todo porque
restringen el tráfico con diferentes sistemas de protección y en ocasiones es necesario
recibir una invitación. Por lo que existe una Deep Web dentro de la propia Dark Web.

Al observar el mapa de contenido de su página principal, podemos clarificar qué páginas

web y servicios se esconden detrás de la red Tor:

 Servicios financieros: blanqueo de bitcoins, cuentas de Paypal que han sido robadas,
falsificación de monedas y billetes, clonación de tarjetas de crédito, etc. Si quieres
saber más sobre cómo prevenir estafas haz clic aquí. En este artículo te facilitamos
una lista de 45 consejos para mantener tus cuentas bancarias seguras.

 Servicios comerciales: mercado negro, explotación sexual, venta de armas y drogas,

documentación falsa, entre otros.

 Anonimato y seguridad: instrucciones para mejorar la privacidad en Tor, sobre todo

en lo relacionado con la venta o transacciones en criptomonedas.
  Servicios de hosting: alojamiento web y almacenamiento de imágenes/archivos
ilegales o que anteponen la privacidad.

 Blogs y foros: además de los vinculados a los servicios de compraventa, existen dos
categorías frecuentes que son el hacking y el intercambio de imágenes de todo tipo.

 Servicios de correo: algunas de las direcciones de correo electrónico son gratuitas y

otras son de pago con SSL y soporte de IMAP.

 Activismo político: intercambio de archivos censurados, hackitivismo y páginas de

magnicidios. La anarquía y la ideología "antisistema" es lo que más predomina en la
Dark Web, pero hay multitud de otros grupos que justifican la violencia.

 Secretos de Estado: hay un "apartado" de Wikileaks y varias páginas en las que

publicar secretos, filtraciones relacionadas con los Servicios de Inteligencia.

 Páginas eróticas: son tanto de pago como de libre acceso. Hay un amplio abanico de
subcategorías y no existe el límite moral ni legal.

 Bolsa De Trabajo Para Ciberdelincuentes

Existen páginas en las que los hackers malos (los ciberdelincuentes) se promocionan para
llevar a cabo actividades ilegales a cambio de dinero. Estas son las dos páginas más
importantes:

1. Rent a Hacker: un informático europeo con una supuesta experiencia de 20 años en

ingeniería social y hackeos ilegales que ofrece a los usuarios ataques DDOS, exploits de día
cero, troyanos y phishing. El importe mínimo por un trabajo menor es de 200 euros y, a
partir de ahí, todo lo que se quiera.

2. Hacker4Hire: en este caso, el hacker desglosa sus precios por servicio:

 Hackear un servidor web (VPS o hosting): 120 dólares

 Hackear un ordenador personal: 80 dólares

 Hackear un perfil de Facebook, Twitter, Instagram: 50 dólares

 Desarrollar spyware: 180 dólares

 Localizar a alguien: 140 dólares

 Investigar a alguien: 120 dólares

El problema aquí es contrastar verdaderamente quién hay "al otro lado" de la conexión y su
experiencia real, por ello los pagos suelen hacerse progresivamente. No obstante, hay que
tener claro que, aunque existan estas páginas, no tienen por qué ser fiables, y la mayoría
pueden ser perfectamente estafas.

 Páginas Fake De Estafadores

Al ser un mercado totalmente libre, aumentan el número de estafadores fruto de la

impunidad que reina en la Dark Web. A diferencia de la Internet Superficial en la que
puedes contar con antivirus y existe persecución más o menos eficaz de los ciberdelitos, en
la Dark Web no es así así que es muy importante la precaución. Si quieres saber cómo
actuar ante el ciberacoso, haz clic aquí.

Una de las estafas más usuales es la “exist scam” que consiste en una operación fraudulenta
por parte los promotores maliciosos de criptomonedas que huyen con el dinero de los
inversores durante o después de una ICO (financiamiento usando criptomonedas). No
obstante, existen mecanismos como Escrow que hacen de intermediarios durante el proceso
de compraventa y, en caso de problema, la tienda permite abrir una disputa que afecta a la
credibilidad de ese intermediario. Además, también hay diferentes organismos policiales y
servicios de Inteligencia (públicos y privados). Un “honeypot” es una web falsa creada por
un agente de seguridad para cazar a las personas cometiendo actividades ilegales. Si quieres
formar parte de ellos, fórmate y certificate en Inteligencia.

 Mercados Online

Skil Road es la marca más famosa de Tor y es conocida desde 2011 como el Amazon de la
droga. Sin embargo, el FBI encontró los servidores de la tienda y la cerró. Después,
apareció Skil Road 2.0 y pasó lo mismo. Así que, en la actualidad, el mercado de la Dark
Web más grande es Agora y, el segundo, Evolution. El proceso de registro para ambas es
similar: no hace falta añadir un email, basta con elegir un nombre de usuario, una
contraseña y un pin que se debe recordar.

Algunos ejemplos de productos ilegales que se pueden comprar son los siguientes:

 Narcóticos: se venden al por mayor y en cantidades reducidas. Las drogas con

mayor demanda son la marihuana, el éxtasis, la cocaína, el hachís, la
mentanfetamina y la heroína.

 Cuentas premium: Spotify, Hulu, Netflix y Minecraft por sólo dos euros.

 Falsificaciones: Rolex, Ray Ban, billetes, pasaportes, carné de estudiantes, etc.

 Armas y munición: hay poca oferta en cuanto a armamento, pero de munición hay
muchísimas opciones.

 Pequeños Comercios
La Dark Web pone muchas facilidades, especialmente, a los "emprendedores". De esta
manera, hay páginas con todo tipo de ofertas, pero las más llamativas son las de
contratación de sicarios como "C'thulhu", "Quick Kill" o "Contract Killer" que ofrecen
asesinatos por encargo a partir de 20.000 dólares. [4]

2.2.2 Pishing.

 Vishing

El caso del Vishing es diferente. En esta ocasión estamos ante un ataque que utiliza la voz.
Por tanto vamos a tener que recibir una llamada. Ahí sí utilizan mensajes similares a los
anteriores, aunque sea mediante la voz. Una vez más van a suplantar la identidad de alguna
empresa u organización. Van a engañar a la víctima haciéndoles creer que están ante algo
legítimo. De esta forma van a recopilar información.

 QRishing

Un caso más es el QRishing. Como sabemos, los códigos QR están muy presentes en
nuestro día a día. Simplemente con acercar el móvil con un lector instalado podremos
acceder a páginas y servicios. También sirven para recopilar información en determinados
lugares. Ahora bien, el problema llega cuando ese código QR es modificado de forma
maliciosa. Puede que lo pongan en sitios públicos donde suele haber códigos legítimos. Al
acercar el móvil y leer ese código nos redirecciona a un sitio web falso que pone en riesgo
nuestra seguridad.

 Spear Phishing

El Spear Phishing es otra técnica que utilizan los piratas informáticos. Podemos decir que
es más personal que todos los demás. Puede ser un e-mail, por ejemplo, pero en esta
ocasión está dirigido al usuario. Al llevar el nombre de la víctima es más probable que lo
abran. Una manera más de los ciberdelincuentes para obtener éxito.

 Phishing basado en malware

En este caso los piratas informáticos agregan un archivo malicioso. Lo normal es que lo
recibamos por e-mail y en vez de ser un link para acceder a una página fraudulenta, ese
correo va a contener un malware.

 Smishing

Los ataques Smishing son similares al anterior, pero en esta ocasión los recibimos por
SMS. La víctima recibe un mensaje de texto en su móvil y normalmente es de un banco o
alguna plataforma que utilice en la red. Nuevamente estos mensajes van a contener un link
que nos lleva a una página que utilizan los piratas informáticos para robar información.
Esto ha aumentado bastante en los últimos años y es un problema que afecta tanto a
usuarios particulares como también a empresas.
2.2.3 Snifer
  tcpdump 
Es uno de los sniffers más conocido y probablemente uno de los primeros disponibles para
los sistemas UNIX. Este programa, una vez lanzado, captura todos los paquetes que llegan
a nuestra máquina y muestra por pantalla información relativa a los mismos. Se trata de una
herramienta de línea de comandos con una gran cantidad de opciones que permiten mostrar
los datos de muy diversas formas.
 Sniffit 

Es una herramienta de línea de comandos que ofrece un modo de ejecución interactivo en el

que se muestran las conexiones accesibles desde la máquina en la que se encuentra
instalado y permite seleccionar cualquiera de ellas para la captura de paquetes, a través de
una interfaz muy sencilla. Este sniffer es referenciado en varios documentos de seguridad.

 Ethereal 

Es un sniffer o analizador de protocolo que ofrece una interfaz sencilla de utilizar y permite
visualizar los contenidos de las cabeceras de los protocolos involucrados en una
comunicación de una forma muy cómoda. Este sniffer es considerado como el mejor sniffer
freeware y está disponible en otros sistemas operativos como Windows.  Para el sistema
operativo Windows también hay gran cantidad de software para realizar sniffing.

 Network Monitor 

Es una aplicación incorporada en el sistema operativo Microsoft Windows NT Server que

proporciona características limitadas de sniffing.

 SpyNet 

Es un software muy potente que permite reensamblar sesiones completas. Sobre este
producto se construyó Iris, uno de los analizadores de red más potentes de la actualidad.

 BlackICE 

Es un sistema de detección de intrusos que permite escribir un registro del tráfico de red
para su posterior análisis.

 Analyzer 

Es un programa que captura paquetes utilizando la librería WinPCAP. Pero la principal

utilidad de esta aplicación es que permite analizar la información monitorizada.

2.2.4 Spoofing

 IP Spoofing
El IP Spoofing consiste en la asignación de una IP de origen ilegítima a nuestro equipo.
Para ello basta con cambiar la dirección de origen de los paquetes que parten del equipo.
Hay que tener en cuenta que al realizar esta acción los paquetes de retorno no irán dirigidos
a nuestro equipo, sino a la IP asignada a los paquetes de origen.

El IP Spoofing puede utilizarse para los siguientes fines:

- obtener privilegios en un determinado sistema que realice autenticación por IP.

- ocultar la identidad de un atacante, sobre todo cuando la denegación de servicios
es la meta del ataque.
- simular que un equipo es otro como forma de convencer a la víctima, por
ejemplo, que un ataque llega desde una Universidad, cuando de hecho llega de un
enemigo.
- crear la impresión que un sitio particular está actuando malévolamente con la
intención de crear fricciones o llevar a que un defensor acuse falsamente a una
tercera parte inocente. 
  - para apoyar otra actividad que desarrolle el atacante, y necesite ganar la confianza
del atacado. Por ejemplo, un vendedor de productos de seguridad de información
podría hacer ataques con dirección IP falsa para convencer a un cliente de la
necesidad de sus servicios.
- convencer a la víctima de que muchos sitios están participando en un ataque
cuando sólo un número pequeño de individuos es responsable, de forma que la
víctima considera imposible el localizar a los atacantes.
- observar cómo una víctima reacciona y para determinar qué respuestas es posible
obtener ante un determinado ataque.

 Web Spoofing

El web Spoofing consiste en la suplantación de un sitio web. Esta técnica permite a un

atacante crear una "copia oculta" del World Wide Web entero. Los accesos a la Web oculta
están canalizados a través de la máquina del atacante, permitiéndole monitorizar todas las
actividades de las víctimas incluyendo contraseñas y números de cuenta. El atacante puede
también enviar datos falsos o engañosos a los servidores Web en nombre de la víctima o a
la víctima en nombre de cualquier servidor Web. En pocas palabras, el atacante observa y
controla todo lo que la víctima hace en el Web. Esta técnica es conocida como "the man in
the middle".

Una vez que el atacante puede observar y modificar cualquier dato que va de la víctima a
los servidores Web, así como controlar todo el tráfico de retorno de los servidores Web a la
víctima, el atacante tiene muchas posibilidades, incluyendo la vigilancia y la adulteración.

 DNS Spoofing
La función mas conocida de los protocolos DNS es convertir nombres a direcciones IP.
Cuando un equipo desea conectar con una dirección de internet, envía el nombre a un
servidor DNS el cual devuelve al equipo la dirección IP correspondiente. Entre los modos
de funcionamiento del servidor se encuentra el modo recursivo, en el que si el servidor no
tiene la información en su caché, se encarga de buscarla haciendo consultas a otros
servidores y almacenando la información en su caché en caso de que el resultado de la
consulta sea satisfactorio.

El DNS Spoofing consiste en que un servidor DNS acepte y use información incorrecta que
obtuvo de un equipo que no posee autoridad para ofrecerla. Persigue, entonces, inyectar
información falsificada en la caché del servidor de nombres. Esto puede causar serios
problemas de seguridad, por ejemplo, que los usuarios del servidor DNS atacado se dirijan
a sitios erróneos en Internet (puede dirigir todas las solicitudes a un servidor en particular).
También los mensajes de correo pueden ser dirigidos a servidores no autorizados donde
pueden ser procesados, cambiados, eliminados o ser víctima de cualquier otra actividad
maligna.

 SMTP Spoofing

El SMTP Spoofing consiste en falsificar el origen de mensajes de correo electrónico. Esta

tarea resulta muy sencilla porque el protocolo SMTP carece totalmente de autenticación.
Dondequiera que exista un servidor configurado para aceptar conexiones SMTP en el
puerto 25, este se expone al riesgo de que alguna persona se conecte y, empleando los
comandos propios del protocolo, envíe mensajes que aparenten tener un origen escogido
por el atacante cuando realmente tiene otro.[5]

2.2.4 Inyección SQL

 Inyección SQL 1
Acceder a la aplicación sin tener nombre de usuario ni contraseña
Cuando el usuario escriba un nombre de usuario y contraseña, la aplicación responde uno
de estos tres mensajes:
Para comprobar si la aplicación incluye los datos enviados por el usuario sin ningún
tratamiento previo, podemos enviar una comilla (simple o doble) como dato.

 Inyección SQL 2 - Averiguar el nombre de los campos

Los nombres de campos se pueden averiguar mediante prueba y error. La idea es introducir
datos que construyan consultas en las que aparezcan posibles nombres de los campos. En
caso de que las consultas den error significa que el nombre es incorrecto, si no es así
significa que hemos acertado el nombre de los campos.

 Inyección SQL 3 - Averiguar los nombres de las tablas

Los nombres de las tablas se pueden averiguar mediante prueba y error. La idea es
introducir datos que construyan consultas en las que aparezcan posibles nombres de las
tablas. En caso de que las consultas den error significa que el nombre es incorrecto, si no es
así significa que hemos acertado el nombre de las tablas.

 Inyección SQL 4 - Averiguar el contenido de los registros

Una vez se conoce el nombre de la tabla de usuarios y los nombres de los campos se puede
intentar conocer valores concretos de un registro mediante prueba y error. La idea es
introducir datos que construyan consultas en las que aparezcan posibles contenidos de los
campos. En caso de que las consultas den error significa que el contenido es incorrecto, si
no es así significa que hemos acertado el contenido.

 Inyección SQL 5 - Añadir un nuevo usuario

Nota: Este tipo de ataque no funciona en la aplicación de ejemplo del primer apartado de
esta lección ya que la extensión PDO no permite ejecutar varias consultas de una sola vez,
pero sí funciona en la aplicación vulnerable inyeccion_sql_2.zip que puede probar en su
ordenador.
Una vez se conoce el nombre de la tabla de usuarios y los nombres de los campos se puede
intentar editar la base de datos, por ejemplo, añadiendo un usuario.

2.2 Ataques a las Aplicaciones

2.3.1 Crack

 De sistemas
Son los programadores maliciosos que modifican el contenido de un determinado
programa, por ejemplo, cambiando fechas de expiración de un determinado programa para
hacerlo funcionar como si fuera una copia legítima.

 De criptografía
Se denominan crackers de criptografía a aquellos que se dedican a la ruptura de la
criptografía.

 Phreaker

Este es un cracker informático especializado en telefonía. Posee conocimiento para realizar

llamadas gratuitas, reprogramar centrales telefónicas, grabar conversaciones de otros
teléfonos para luego poder escuchar la conversación en su propio teléfono y otras
actividades ilícitas.
 Cyberpunk

Son aquellos ciberdelincuentes de páginas web o sistemas informatizados. Se dedican a

destruir el trabajo ajeno.
  Lammer

Es una persona con falta de habilidades técnicas, sociabilidad o madurez e

incompetente en una materia, actividad específica o dentro de una comunidad. Se
trata de una persona que presume de tener unos conocimientos o habilidades que
realmente no posee y que no tiene intención de aprender.

 Trasher

Se denominan así a los ciberpiratas que buscan en la papelera de los cajeros

automáticos la manera de encontrar las claves de tarjetas de crédito para poder
acceder a las cuentas bancarias de los clientes a través de Internet.

 Insiders

Por último, los insiders son aquellas personas descontentas en su trabajo corporativo o ex-
empleados que intentan atacar su centro de trabajo creando caos.

2.3.2 Troyano

 Carberp

La versión original era el típico troyano diseñado para robar la información confidencial de
los usuarios como las credenciales bancarias o los accesos a diferentes páginas web.
Carberp transmitía los datos robados a un servidor C&C controlado por el creador del
malware. Simple y directo. El único componente “complicado” era el rootkit que permitía
al troyano pasar desapercibido en el ordenador de la víctima. La siguiente generación
incluía plug-ins: uno que eliminaba el software antivirus del equipo infectado y otro que
intentaba “destruir” el resto de malware, en caso de que lo hubiera.

Las cosas empezaron a ponerse más interesantes cuando se le confirió la habilidad de cifrar
el tráfico de información entre las máquinas infectadas y el servidor C&C. Además, este
troyano empezó a trabajar junto al famoso exploit Backhole, infectando a un gran número
de equipos. Los creadores de Carperb, a su vez, desarrollaron un módulo específico para
Facebook que engañaba a los usuarios con cupones en metálico, para secuestrar sus cuentas
en una estafa de ransomware.

 Citadel

Este malware es una versión del rey de los troyanos, Zeus. Surgió, junto con
otros programas maliciosos, después de que se publicará el código fuente de Zeus en el
año 2011. Su popularidad se debía a que los creadores desarrollaron un modelo de código
fuente abierto que permitía a cualquiera revisarlo y mejorarlo.

El grupo de ciberdelincuentes responsable de Citadel creó una comunidad de clientes y

colaboradores a escala internacional, quienes conformaban una especie de red social
criminal donde se intercambiaban ideas: cifrado AES de los archivos, la capacidad de eludir
las páginas de rastreo, bloqueo del acceso a páginas de seguridad en el equipo de la
víctima o eliminar los vídeos de los usuarios. Así, los miembros de esta red continuaron
aportando nuevas funciones las cuales consiguieron que este troyano fuera más rápido y
flexible, convirtiéndose en una herramienta perfecta para el robo de credenciales.

Citadel vivó una época dorada hasta que Microsoft, junto a otras compañías, lanzó una
operación que interrumpió el 88% de las infecciones de este virus.

 SpyEye

Se supone que SpyEye se convertiría en el competidor del troyano Zeus. Pero, al final, no

pudo ganar la batalla y alzarse con el título de soberano, aunque también disfrutó de su
minuto de gloria.

De hecho, algunas partes de la operación SpyEye se unieron a Zeus en un gran botnet

bancario, que desapareció rápidamente pero cosechando, mientras tanto, bastante éxito. Los
atacantes utilizaron este malware contra la  entidad Verizon, robando la información
personal de los usuarios durante una semana sin que alguien se percatara del golpe.
Además, SpyEye utilizaba los servicios de almacenamiento en la nube de Amazon para
difundir el malware en sus campañas maliciosas.

 Zeus

Es el turno de Zeus. Bajo el nombre de un dios griego, este troyano es sinónimo de eficacia
y precisión. Desde que se hizo público su código fuente en 2011, parece que todos los
troyanos bancarios tienen algo de Zeus en ellos. No obstante, solo éste dispone de su propio
espacio en Wikipedia e, incluso, en nuestro blog, Viruslist, existen más de 22
artículos relacionados con él. Tal es la popularidad de este virus que se podría escribir una
novela de la misma longitud que “El Quijote” narrando sus maldades; aunque sería
prácticamente imposible relatar cada una de ellas. Apareció en escena en 2007, tras un
ataque contra el Departamento de Transporte de [Link]. Desde aquella primera campaña,
Zeus ha infectado diez millones de equipos y robado cientos de millones de dólares
hasta que sus creadores revelaron su código fuente. Desde entonces, cientos de individuos
han dado con sus huesos en la cárcel por participar en estafas donde Zeus era el
protagonista. Además, este malware se convirtió en el azote de bancos, agencias
gubernamentales o instituciones públicas. La lista de víctimas de este ataque online es
realmente extensa.

 Zeus también se ha hecho famoso por su hermano pequeño, la versión móvil ZitMo que
es capaz de sortear los sistemas dobles de verificación que envían el código de acceso a
 través de un sms. Por cierto, sus compañeros, SpyEye y Carberp, también ha
desarrollado sus modelos móviles de virus. [6]

2.3.3 Virus

 Ingeniería social

Entre los ejemplos de ataques informáticos más comunes, se encuentra la ingeniería social,
donde el atacante logra persuadir al usuario para que le permita acceder a sus contraseñas o
equipos informáticos, y robar información o instalar software malicioso.

 Keylogger

Otro de los ejemplos de ataques informáticos consiste en una herramienta denominada

keylogger, la cual logra registrar las pulsaciones que ocurren en el teclado del usuario,
logrando sustraer contraseñas y demás datos sensibles.

 Secuencia TCP

Un ataque de secuencia TCP puede afectar a una empresa al generar una duplicación de
paquetes para que el intruso pueda secuestrar la sesión de una conexión TCP, provocando
serios inconvenientes al sistema.

 Malware o Software malicioso

Quizás uno de los ejemplos de ataques informáticos más habituales, es el malware, que
consiste en un software malicioso que infecta a un equipo informático de manera ilícita, y
puede ser de varios tipos, como: virus, troyanos, spyware, entre otros.

 Ransomware

El los últimos años, el ransomware se ha convertido en uno de los ejemplos de ataques

informáticos más molestos y peligrosos para las empresas, pues este malware impide el
acceso a una parte del sistema, y pide un rescate por ello, de modo extorsivo. [7]
3. BIBLIOGRAFÍA

[1] Rubira J. Ciberseguridad: “Accidentes y pérdidas graves por fallos en el software”.

Disponible en: [Link]
epicos-por-fallos-en-el-software
[2] Anabalon, Juan R. “Ataques vulnerables en la cyberseguridad”. Live Journal,
Colombia, CNSO, Enero 2000.
[3] G. Rupert, Conociendo la estructura de las redes, Departamento de Teoría de la Señal
y Comunicaciones. 2015
[4] J. Machado Fernández, Principios Básicos de la seguridad informática. La Habana.
ISPJAE-CUJAE. 2016.
[5] A. Cabeza Galán. “Fundamentos Básicos de la seguridad en redes”. España, CNSO,
Enero 2000.
[6] M. J. Escobar Cristiani, “La seguridad en el mundo cibernético”. Primera Edición.
Viveros de la Loma, Tlalnepantla, Estado de México. Red Tercer Mileno. 2012
[7] Rodriguez, A “Ataques en los Sistemas Seguros”. 2012. Diponible en:
[Link]