CURSO DE SEGURIDAD INFORMATICA PARA EQUIPOS TECNICOS - PARTE 2- CIBERAMENAZAS - PLATZI

 CIBERAMENAZAS

Malware

El termino "malware" proviene de la contraccion de las palabras inglesas "malicious software", donde referencia el software malicioso.
Es un software malicioso creado para hacer daño y se realizan para afectar todo tipo de dispositivos.

¿Cómo se propaga el malware?

El poder devastador del malware radica en su capacidad de "movimiento lateral", es decir su habilidad de propagarse de un equipo vulnerable  otros en la mism red. El malware busca vulnerabilidades en los dispositivos para replicarse y expandir su alcance.

¿Cúales son las modalidades de malware más comunes?

  • Cryptojacking: Utiliza los recursos del equipo infectado para minar criptodivisas, afectando su rendimiento 
  • Secuestro de datos: El malware altera la integridad de la información, especialmente datos sensibles, esperando una recompensa por ellos.
  • Zombificacion de equipos: Los dispositivos infectados, tambien llamados "zombies", forman parte de una botnet desde donde se lanz un ciberataque dirgido.

Tipos de Malware

Virus: 

  • Se adjunta en un archivo ejecutable y se propaga cuando el archivo ejecutable se ejecuta.
  • Puede dañar archivos, ralentizar el sistema o robar información

Gusano (worm)

  • Se propagaba automaticamente sin la necesidad de intervension del usuario
  • Puede causar congestion de redes

Troyano

  • Se ejecuta de software legitimo para engañar a los usuarios
  • Puede dar acceso a los usuarios para robar datos o controlar a los equipos.

Ransomware

  • cifra los archivos del usuario y pide un rescate
  • ejemplos: wannacry

Adware

  • muestra anuncios invasivos y redirige a sitios maliciosos
  • Puede afectar el rendimiento del equipo y recopilar datos sin permiso

Rookit

  • Se oculta en el sistema para mantener el acceso a un atacante
  • Es dificil de detectar

Keylogger

  • Registra las pulsaciones del teclado para robar credenciales

Botnet

  • Convierte el equipo en un bot controlado por un atacante
  • Puede usarse para ataques DDOS

Malware filesles

  • No requiere archivos se ejecuta en la memoria ram
  • Difícil de detectar porque no deja rastero en el disco

Paginas para analizar archivos y urls

https://www.virustotal.com/gui/home/upload
https://www.hybrid-analysis.com/


Ransomware

El ransomware es una de las amenazas cibernéticas mas lucrativas para los ciberdelincuentes. Este tipo de malware emplea técnicas de cifrado altamento sosfiticado para alterar la integridad de los archivos de su víctima.
Los ciberdelincuentes acceden al sistema de la victima y cifran sus datos utilizando una llave privada que solo ellos poseen, usualmente identificada según el perdil de la victima.

¿Cómo podemos identificar un ataque de ransomware?

Cuando el ransomware empieza a cifrar los datos, deja un mensaje en pantalla informando a la victima sobre cómo recuperar su información, normalmente pidiendo un rescate en criptodivisas.
El mensaje suele llevar una cuenta regresiva que presiona a la víctima a actuar rápidamente.
Un elemento notable es que el ransomware selecciona un rango de extensiones de archivo para cifrar, como documentos de word, hojas de cálculo de Excel, copias de seguridd y archivos comprimidos.

¿Por qué es importante preocuparse por los ransomware?

A lo largo de los años, el ransomwre ha afectado gravamente a muchos sectores industriales.
  • Su capacidad de interrumpir operaciones esenciales
  • El impacto económico significativo al requerir rescates elevados.
  • La amenaza de pérdida de datos criticos y sensibles.

Proceso de operación de un ataque ransomware

  1. Entrega: Los ciberdelincuentes utilizan diversas técnicas para entregar malware, como correo electronico de phishing con enlaces o archivos maliciosos adjuntos, descarga de sofware de sitos malisiosos
  2. Infeccion: una vez que el malware ha sido entregado al dispositivo se ejecuta automaticamente
  3. Cifrado: una vez instalado el malware busca los archivos y los cifra
  4. Notificación: una vez cifrado notifica que se requiere un pago para liberarlos
  5. Pago: el usuario es instruido para pagar en cripto moneda porque no son rastreables
  6. Descifrado: una vez recibido el pago, los ciberdelincuentes pueden proporcionar una clave de descifrado. a veces no es posible recuperar los archivos aun pagando el rescate.
  7. Extorsion: los ciberdelincuentes pueden extorcionar con los datos obtenidos.
  8. Cierre: El ataque termina cuando los ciberdelincuente reciben el pago del rescate o las victimas deciden no pagar y limpian los sistemas afectados.

¿Cuáles son los factores de riesgo?

Varias prácticas inadecudas pueden aumentar la exposición a ransomwre. Algunas de ellas son:
  • Direcciones IP públicas sin auditar: Servicios web visiblemente expuestos deben estar correctamente protegidos
  • Falta de un firewall: Los sistemas no protegidos expuestos a internet son vulnerables
  • Ausencia de proteccion Endpoint: Sistemas sin antivirus o antimalwa están en riesgo
  • Falta de prácticas de hardening: Asegurar sistemas IT internos e

¿Qué controles y medidas se deben implementar?

  • Educacion en ciberseguridad: Capacitar a todos los miembros de la organización, incluyendo stakeholders y proveedores, sobre buenas practicas.
  • Aseguramiento de los activos de informción: Instalar y configurar adecuadmente firewlls y herramientas de monitoreo con alertas temprana.
  • Realizacion de backups periódicos: Tener y probar regularmente copias de seguridad en entorno controlados es crucial para recuperar la informcion
  • No pagar rescates: contribuir al pago de resctes solo financia la ciberdelincuencia.

Link de herramientas de descifrado

https://www.pcmag.com/picks/the-best-ransomware-protection
https://www.nomoreransom.org/es/index.html

INGENERIA SOCIAL

La ingenieria social se refiere a un conjunto de métodos y tácticas que los ciberdelincuentes emplean para manipular psicólogicamente y cometer delitos

¿Cómo operan los ciberdelicuentes en la ingenería social?


Operan siguiendo un ciclo de vida
  1. Investigación y reconomiento: Se realiza una buena investigacion con la victima.
  2. Victima: Se establece un primer contacto con la víctima, a menudo utilizando insentivo
  3. Ejecucion del ataque: Una vez captada la atencion de la víctima, se emplean técnicas de ingeneria social para obtener información delicada
  4. Eliminación de huellas: tras cometer el delito, los ciberdelicuentes borran toda evidencia de la iteraccion.

¿Cómo se utiliza la técnologia en un ataque phising?

Un ejemplo seria el uso de correos electrónicos falsificados desde cuentas vulneradas para enviar masivamente información a potenciales víctimas.

¿Qué es el cripto blackmail?

Es una técnica donde, tras reunir información de la víctima, se envía un correo mostrando una contraseña antigua como prueba de acceso de informacion sensible. La victima presa del panico debe pagar en criptodivisas.

Controles ciberneticos efectivos

  • Validacion de origen del correo, verificando siempre su procedencia de correos y mensajes.
  • Doble factor de autenticación
  • Cultura de ciberseguridad: impulsar la formacion de ciberseguridad y aplicar el sentido común para detectar y evitar ataques.

Phising

Técnica de ingenería social utilizada para el robo de datos personales y financieros.
Normalmente, suplanta la identidad digital de empresas o bancos.

Técnicas de Phishing

  • Emails Scams: el ciberdelincuente envia miles de falsos correos a usuarios/empresas que han comprometido sus datos
  • Spear Phishing: Ciberataque dirigido a empresas o sectores con previo conocimiento organizacional adquirido.
Controles para prevenidr el phishing en las empresas
  • Educación en seguridad: implementar campañas internas y simular ejercicios de phishing como la herramienta "Go Fish"
  • Doble o múltiple factor de autenticación
  • Denuncia de enlaces maliciosos
Ejemplo de caso real de phishing
Se recibe un correo electrónico que pretendia ser de una entidad bancaria. El correo incluia un enlace que conducía a una página web falsificada, diseñada para que los usuarios introdujeran su información personal. al hacerlo los ciberdelincuentes tenian acceso los datos de la victima.

Denegacion de servicios

Es un ataque que principalmente afecta la disponibilidad de los recursos tecnológicos o la infraestructura de una organización. Este ataque se lleva a cabo inundando peticiones a la victitma

Tipos de Denegacion de servicios:
  1. Basado en volumen: Este tipo de ataque satuira el ancho de banda de la víctima. Usa protocolos como UDP y ICMP, relacionados con el comando PING, para verificar la actividad de un host.
  2. Basado en protocolo: Consume los recursos del servidor enviando peticiones masivas. Aquí es esencial el concepto del triple handshake en la comunicación cliente-servidor, donde destaca la bandera SYN. El atacante busca inundar con este tipo de paquetes.
  3. Capa de aplicación: Genera un gran flujo de request hacia servicios web, provando su colapso. esto hace que los servicios queden offline y su actividad se mide en request por segundo.

Botnes "Denegacion de servicio distribuida"

Es el uso de varios host "botnes o redes zombies" que son controlados mediante malware y se dirigen al objetivo de manera coordinada, atacando de forma enconjunta.

Medida de prevención ante ataques DoS

Seguridad como servicio

Adquirir soluciones de seguridad integrales es crucial para proteger todos los procesos de la organizacion. Esto incluye reglas de seguridad perimetrtal y la capacidad de identificar y mitigar anticipadamente un ataque

Hardening

  • proteccion de endpoints: Instalar herramientas anti-malware o antivirus
  • Eliminar configuraciones por defecto: Personalizar configuraciones para evitar vulnerabilidades.
Nota:
Existren ataques DDOS para las cpas 7,4 y 3 como se ven en la imagen.

Man in the Middle

La dinamica de ataque es sencilla, normalmente las solicitudes de los datos van de servidor al cliente. Sin embarho, en este método el atacante se interpone en el medio para quebrantar la comunicación mediante herramientas técnicas y quedarse entre el servidor y el cliente "victima"

Tipos de Man in the Middle

IP Spoofing: 
ARP SPoofing: 
DNS SPoofing

Mitigaciones de ataques

  • Tomar atencion detenidamente a las alarmas de los navegadores
  • Cerrar sesiones correctamente
  • Uso de VPN para que la informacion se encuentre encapsulada
  • Uso cifrado robustos y protocolos seguros como TLS.
Nota:
Para evitar DNS Spoofing, configura un swtich administrable que permita que un solo puerto físico de red reciba peticiones UDP/TCP 53, con ello evitas un ataque de Rogue DNS. Así mismo podrías aumentar la seguridad configurando un sistema de DNSSec.
me falta verificar esta info















Comentarios

Publicar un comentario

Entradas más populares de este blog

Curso de Introduccion a Informatica Forense - Platzi

Imagen
La informatica forense es una disciplina que se encarga de la recopilación, preservación y análisis de evidencias digitales en sistemas informaticos, redes dispositivos moviles, correos electrónicos, discos duros, entre elementos informáticos. En resumen, la informatica forense busca identificar, recuperar y analizar datos digitales que pueden ser utilizados como evidencia en proceso judicial o administrativo.  Etapas de la informática forense Identificación: encontrar y documentar las posibles fuentes de evidencia digital Preservación: Asegurar que la evidencia digital no sea alterada o destruida. Análisis: Extraer información relevante de la evidencia digital y encontrar relaciones entre diferentes elementos. Presentación: Comunicar los resultados del análisis de forma clara, concisa y comprensible para una audiencia no técnica. Identidicación de equipos Procesos de investigación El proceso de investigacion forence implica la recolección y análisis de diversos elementos para escl...
Read more »

GUIA PARA APRENDER CIBERSEGURIDAD INFORMATICA - PLATZI

Imagen
RAMAS DE LA CIBERSEGURIDAD   seguridad de la informacion: Area que habla mucho sobre normativa y proteccion de datos. "seguridad = datos" Codigo seguro: mas dedicado a las personas que programan. puedes ver owaps para este caso Seguridad aplicativa: hay tres ramas significativas, web "uso de owasp 10", mobile "verificacion de codigo de la app" y redes "busqueda de arquitecturas seguras" Criptografia Redes: tener conocimiento del hardware de red("dispositivos, arquitecturas y tecnologias de transmicion") y el software de red Ingeneria social: Phising "tecnicas de manipulacion para que el usuario de sus credenciales" Ciberinteligencia: OSINT "busqueda informacion de forma pasiva" Ethica: Etical Hacking Scripting: bash, exploits Malware: analisis del codigo del malware y saber como protegernos del malware.  CERTIFICACIONES DE CIBERSEGURIDAD Para empezar en el mundo de la ciberseguridad es importante empezar aunque no se...
Read more »

CURSO PARA LA INTELIGENCIA PARA LA CIBERSEGURIDAD

Imagen
Introduccion a la ciberseguridad ¿Que aprenderas? Introduccion a la ciberseguridad Ciclo de vida Como aplicarlo a la ciberseguridad Técnica de recopilación pasiva Recoleccion de inteligencia para medios sociales. ¿Qué es la inteligencia? Para entender que es la inteligencia debo saber que son los datos. y para ellos debo saber definir que son los datos, para obtener información. ¿Qué son los datos? Un dato en si mismo no constituye información, es un fragmento de información sin analizar, sin procesar ni interpretar. Entonces el conjunto de los datos nos proporciona información. Un ejemplo seria definir los datos de un persona: Nombre: Edad: Domicilio: correo: numero telefonico: Pais: Estos valores de forma aislada no representan información util por si mismos, sin embargo cuando se agrupan y se contextualizan, se convierten en información. ¿Qué es la informacion? Es el conjunto de datos organizados y procesados que ya tienen significado. La información la ser procesada se convierte en...
Read more »