FACULTAD DE TECNOLOGÍAS DE INFORMACIÓN Y COMUNICACIONES
LICENCIATURA EN SEGURIDAD INFORMÁTICA
DETECCIÓN DE INTRUSOS
TAREA 1
CRISTHIAN JOSÉ BERROCAL PARRA
HEREDIA
SETIEMBRE DE 2020
�Investigar sobre los siguientes temas:
-Fases de un ataque informático
Fase 1: Reconocimiento
Esta etapa involucra la obtención de información con respecto a una potencial víctima
que puede ser una persona u organización.
Por lo general, durante esta fase se recurre a diferentes recursos de Internet como
Google, entre tantos otros, para recolectar datos del objetivo. Algunas de las técnicas
utilizadas en este primer paso son la Ingeniería Social, el Dumpster Diving, el sniffing.
Fase 2: Exploración
En esta segunda etapa se utiliza la información obtenida en la fase 1 para sondear el
blanco y tratar de obtener información sobre el sistema víctima como direcciones IP,
nombres de host, datos de autenticación, entre otros.
Entre las herramientas que un atacante puede emplear durante la exploración se
encuentra el network mappers, port mappers, network scanners, port scanners, y
vulnerability scanners.
�Fase 3: Obtener acceso
En esta instancia comienza a materializarse el ataque a través de la explotación de las
vulnerabilidades y defectos del sistema (Flaw exploitation) descubiertos durante las
fases de reconocimiento y exploración.
Algunas de las técnicas que el atacante puede utilizar son ataques de Buffer Overflow,
de Denial of Service (DoS), Distributed Denial of Service (DDos), Password filtering y
Session hijacking.
Fase 4: Mantener el acceso
Una vez que el atacante ha conseguido acceder al sistema, buscará implantar
herramientas que le permitan volver a acceder en el futuro desde cualquier lugar donde
tenga acceso a Internet. Para ello, suelen recurrir a utilidades backdoors, rootkits y
troyanos.
Fase 5: Borrar huellas
Una vez que el atacante logró obtener y mantener el acceso al sistema, intentará borrar
todas las huellas que fue dejando durante la intrusión para evitar ser detectado por el
profesional de seguridad o los administradores de la red. En consecuencia, buscará
eliminar los archivos de registro (log) o alarmas del Sistema de Detección de Intrusos
(IDS).
� -Motivación del atacante (al menos 3 objetivos)
Ciber-activismo o hacktivismo
La libertad de información, la lucha contra la censura, el cambio climático, ideas
políticas… cualquier tema que genere cierta controversia puede ser el motivante para
que un equipo de hackers decida realizar un ataque a una web.
Motivos económicos
El motivo principal de la mayoría de ataques a gran escala no es otro que el dinero.
Estamos ya acostumbrados a ver en la mayoría de medios noticias sobre el filtrado de
datos en sistemas con miles de usuarios. Estos datos pueden incluir desde direcciones
de correo y contraseñas hasta información sobre tarjetas de crédito. Y todo esto se
vende. Por ende, una de las mayores motivaciones de los ciber-delitos es hacer dinero
con ellos.
Demostración de superioridad
Un hacker entrará a una web explotando un fallo de seguridad por el simple hecho de
demostrar que puede hacerlo. Esto es algo que lleva sucediendo desde los inicios de
Internet.
Para hacerse un nombre en la web, muchos intentaban entrar en sistemas informáticos
de destacada importancia, para demostrar que el último smartphone que sale a la venta
se puede hackear.
� -Ciberseguridad (definición)
La ciberseguridad es la práctica de defender las computadoras, los servidores, los
dispositivos móviles, los sistemas electrónicos, las redes y los datos de ataques
maliciosos. También se conoce como seguridad de tecnología de la información o
seguridad de la información electrónica. El término se aplica en diferentes contextos,
desde los negocios hasta la informática móvil, y puede dividirse en algunas categorías
comunes.
La seguridad de red.
La seguridad de las aplicaciones.
La seguridad de la información.
La seguridad operativa.
La recuperación ante desastres y la continuidad del negocio.
La capacitación del usuario final.
-Antecedentes sobre ciberespionaje y ciberterrorismo (algún caso relevante o
gran repercusión de los últimos 5 años).
En el 2019 al presidente del Parlamento catalán, Roger Torrent, por medio de una
video llamada de WhatsApp (la cual no tuvo ni que contestar), la empresa israelí NSO,
aprovechando una vulnerabilidad de la aplicación que ya había usado otras veces, le
colocó en su teléfono Pegasus, un software de espionaje. Después de ese momento y
sin siquiera sospecharlo, el móvil del político catalán ya no le obedecía solo a él. A
través de Pegasus, recibía también instrucciones desde algún lugar remoto: captura
�esos mensajes, conecta el micro, haz una foto, dime la localización. Torrent llevaba
desde entonces en el bolsillo un instrumento que espiaba su vida.
Los teléfonos tanto de Torrent como del exconseller Ernest Maragall fueron infectados
con este software, según informó el medio EL PAÍS.
El exploit es la pieza de software que aprovecha la vulnerabilidad de una aplicación,
navegador o sistema operativo para acceder al dispositivo. Es la llave que abre la
puerta. NSO ofrece esa llave y también el software que luego controla el dispositivo. La
llave esta vez abría la puerta de WhatsApp. Pero hay más: es un sector de negocio por
sí mismo. Un exploit como el usado en el móvil de Torrent, que se cuela por una
aplicación muy popular y que no requiere de la participación del usuario ―lo que se
llama “cero clic”―, es tremendamente caro. Quien lo desarrolle y quiera venderlo
puede llevarse entre uno y dos millones de euros.
Actualmente este caso de ciberespionaje ha estado en la palestra del parlamento
catalán, el cual asegura, actuará judicialmente contra la acción de ciberespionaje de la
que fuera víctima, además del presidente de la Cámara, Roger Torrent, también el
exconsejero de Acción Exterior y diputado, Ernest Marag. La Mesa del Parlament ha
dado luz verde este martes al texto de una denuncia por el hackeo de los móviles de
ambos líderes republicanos, un escándalo publicado por El PAÍS y The Guardian.
