Seguridad de Sistemas Seguridad

de Sistemas Seguridad de
Sistemas Seguridad de Sistemas
Seguridad de Sistemas Seguridad
de Sistemas Seguridad de
Sistemas Seguridad de Sistemas
Seguridad de Sistemas Seguridad
de Sistemas Seguridad de
Sistemas Seguridad de Sistemas
Seguridad de Sistemas Seguridad
de Sistemas Seguridad de
Sistemas Seguridad de Sistemas
Seguridad de Sistemas
zxcvbnmqwertyuiopasdfghjklzxc
vbnmqwertyuiopasdfghjklzxcvb
nmqwertyuiopasdfghjklzxcvbnm
 Universidad Mariano Glvez de Guatemala

Facultad de Ingeniera en Sistemas de Informacin y Ciencias de la Computacin

Plan sbado

Ingeniera Social con BEEF

direccionando el trfico a una sola IP

Esli Manuel Gamas Barahona 0900-11-12424

No David Istacuy Carrillo 0900-11-4528

Byron Josu Morales Sosa 0900-11-1486

Pablo Estuardo Benavente 0900-06-1870

Orlando Mauricio Prez 0900-01-953

Edy Pocasangre 0900 93 1268

Francisco Roberto Orellana Robles 0900-09-10361

Guatemala, noviembre de 2017

[Escriba texto] Pgina 1

NDICE
Contenido
INTRODUCCION ............................................................................................................................... 3
OBJETIVOS ....................................................................................................................................... 4
1. MARCO CONCEPTUAL. ................................................................................................................ 5
1.1 ANTECEDENTES ......................................................................................................................... 5
1.2 JUSTIFICACION.......................................................................................................................... 5
1.3 PLANTEAMIENTO DEL PROBLEMA ........................................................................................... 6
1.4 OBJETIVOS ........................................................................................................................... 6
1.4.1 Objetivo General .................................................................................................................... 6
1.4.2 Objetivos Especficos .............................................................................................................. 6
1.5 ALCANCES Y LIMITES DE LA INVESTIGACION............................................................................. 6
2. MARCO TERICO. ........................................................................................................................ 7
3. PROPUESTA ............................................................................................................................... 11
CONCLUSIONES ............................................................................................................................. 13
ANEXOS ......................................................................................................................................... 14

[Escriba texto] Pgina 2

INTRODUCCION

Es muy importante conocer el significado de la seguridad dentro la funcin informtica, de forma

esencial cuando su manejo est basado en tecnologa moderna, para esto se debe conocer que la
informacin: Esta almacenada y procesada en computadoras, puede ser confidencial para algunas
personas o a escala institucional, puede ser mal utilizada o divulgada
puede estar sujeta a robos, sabotaje o fraudes

Los primeros puntos nos muestran que la informacin est centralizada y que puede tener un alto
valor y los ltimos puntos nos muestran que se puede provocar la destruccin total o parcial de la
informacin, que incurre directamente en su disponibilidad que puede causar retrasos de alto
costo.

Pensemos por un momento que hay se sufre un accidente en el centro de computo o el lugar
donde se almacena la informacin. Ahora preguntmonos: Cunto tiempo pasara para que la
organizacin este nuevamente en operacin?

Es necesario tener presente que el lugar donde se centraliza la informacin con frecuencia el
centro de cmputo puede ser el activo ms valioso y al mismo tiempo el ms vulnerable.

A continuacin se presentan algunos aspectos que han hecho que la informacin sea cual sea su
fuente de origen sea manipulada sus orgenes y el problema que est ha causado. Estableciendo a
su vez una alternativa de solucin para la misma, siendo est la Ingeniera Social.

[Escriba texto] Pgina 3

OBJETIVOS

General

Establecer un sistema de seguridad social, el cul sea confiable para los usuarios en
cualquiera que sea la actividad que se realice en la web.

Especficos

1. Mitigacin de delitos cometidos utilizando la computadora, entre los que se pueden

mencionar: Fraudes, Falsificacin y Venta de Informacin.

2. Al aplicar un tipo de sistema en el cul se pueda determinar qu nivel de proteccin

tiene la informacin y poder responder de una forma efectiva ante la situacin.

[Escriba texto] Pgina 4

 1. MARCO CONCEPTUAL.

1.1 ANTECEDENTES
Ingeniera social:

Segn Digital Guardian, el 97% de los ataques informticos no aprovechan una falla en el
software, sino que usan tcnicas de ingeniera social para conseguir las credenciales
necesarias para vulnerar la seguridad informtica. Por eso, a veces poco importan las
medidas de seguridad tecnolgicas que implementes si las personas estn mandando su
clave por correo electrnico. Como parte de la estrategia de seguridad de tu compaa,
tienes que hacer un gigantesco esfuerzo para evitar que los criminales informticos
implementen tcnicas de ingeniera social para entrar a tus sistemas

La ingeniera social es la prctica de manipular psicolgicamente a las personas para que

compartan informacin confidencial o hagan acciones inseguras. La mayora de veces, los
ataques se realizar por medio de correo electrnico o por telfono. Los atacantes se hacen
pasar por otra persona y convencen a la vctima para entregar informacin sensible de la
organizacin o sus contraseas. Como es un tema ms humano, las herramientas
tecnolgicas que implementan las compaas no pueden prevenir los ataques. Por eso, los
atacantes recurren a este tipo de tcticas para vulnerar sistemas muy seguros y complejos.

1.2 JUSTIFICACION
Al montar toda tu estrategia digital, es fundamental tener la seguridad informtica entre las
prioridades. Adems de registrar el dominio disear los sistemas e implementar tcnicas de
SEO, es fundamental proteger toda la informacin del negocio. La mejor manera de poder
implementar una estrategia de seguridad es conocer como funcionan los mtodos de ataque
para poder contrarrestar y prevenir este tipo de ataques.

Por tal razn en esta investigacin se analiza la ingeniera social explotando alguna
vulnerabilidad en una aplicacin Web.

[Escriba texto] Pgina 5

1.3 PLANTEAMIENTO DEL PROBLEMA

La situacin planteada hasta el momento se vive en una empresa que se encuentra en

crecimiento, se trata de un Ingenio Azucarero ubicado en Escuintla. Esta organizacin tiene
sistemas distintos para: Contabilidad, Materiales, Almacn e inventarios.

Cuando es necesario disponer de un estado de resultados o cualquier informacin de tipo

contable, es necesario recurrir a realizar cierres por separado en cada uno de todos los
sistemas satlites que alimentan contabilidad, dependiendo de que los inventarios estn
actualizados, los movimientos de stock sean generados oportunamente y una serie de
procesos que hacen realmente complicado este proceso.

Otra particularidad de la situacin actual de la empresa es que las operaciones se

centralizan en Escuintla, sin embargo la contabilizacin por temas fiscales y de
accesibilidad se encuentran en las oficinas centrales en Guatemala, lo que hace que se
divida an ms el proceso contable por la sincronizacin en varios puntos.

1.4 OBJETIVOS

1.4.1 Objetivo General

Utilizar ingeniera social para redireccionar todo el trfico a determinada direccin IP por
medio del Programa BEEF

1.4.2 Objetivos Especficos

- Utilizar el programa BEEF para explotar vulnerabilidades.
- Redireccionar el trfico una vez se ha consumado la explotacin de la
vulnerabilidad a una sola IP.
- Demostrar prcticamente ataques por medio de ingeniera social.
- Determinar las mejores prcticas en seguridad para controlar este tipo de ataques y
estar preparados.

1.5 ALCANCES Y LIMITES DE LA INVESTIGACION

N/A

[Escriba texto] Pgina 6

 2. MARCO TERICO.
Definicin ingeniera social:
El trmino ingeniera social hace referencia al arte de manipular personas para eludir los
sistemas de seguridad. Esta tcnica consiste en obtener informacin de los usuarios por
telfono, correo electrnico, correo tradicional o contacto directo.

Los atacantes de la ingeniera social usan la fuerza persuasiva y se aprovechan de la

inocencia del usuario hacindose pasar por un compaero de trabajo, un tcnico o un
administrador, etc.

En general, los mtodos de la ingeniera social estn organizados de la siguiente manera:

Una fase de acercamiento para ganarse la confianza del usuario, hacindose pasar por un
integrante de la administracin, de la compaa o del crculo o un cliente, proveedor, etc.
Una fase de alerta, para desestabilizar al usuario y observar la velocidad de su respuesta.
Por ejemplo, ste podra ser un pretexto de seguridad o una situacin de emergencia;
Una distraccin, es decir, una frase o una situacin que tranquiliza al usuario y evita que se
concentre en el alerta. sta podra ser un agradecimiento que indique que todo ha vuelto a
la normalidad, una frase hecha o, en caso de que sea mediante correo electrnico o de una
pgina Web, la redireccin a la pgina Web de la compaa.
La ingeniera social puede llevarse a cabo a travs de una serie de medios:
Por telfono,
Por correo electrnico,
Por correo tradicional,
Por mensajera instantnea,
Se busca generar una situacin creble, de confianza, sin dejar nada libre al azar. Un
ejemplo puede ser un scam, o sitio web modificado con fines maliciosos, como el que hace
poco les mostramos cuando se utiliz la esttica de la gira de los Rolling Stones para crear
un sitio que prometa entradas gratis a cambio de clics en Facebook.
Cuando un atacante lleva a cabo una tcnica de Ingeniera Social, su efectividad depende
del comportamiento del usuario, que es quien en algunas ocasiones, de forma involuntaria,

[Escriba texto] Pgina 7

contribuye a que un ciberdelincuente se salga con la suya y logre realizar el engao. Por
lo tanto, la clave es la precaucin del usuario final, que tiene el poder de frenar la
propagacin de una campaa.
La evolucin de las tcnicas de Ingeniera Social
Es increble ver cmo han evolucionado hasta la fecha los ataques de este tipo. Algo que en
sus inicios comenz siendo una impersonalizacin va telefnica, hoy busca hacer una
experiencia imperceptible al usuario.
Los comienzos de esta tcnica se basaban en llamadas telefnicas, hacindose pasar por
entidades que brindan un determinado servicio. La finalidad de este llamado era recabar
informacin sobre la vctima. Con la llegada de Internet a cada hogar, comenzaron a
aparecer tcnicas de Ingeniera Social va clientes de mensajera instantnea. Comenz a
ser muy comn el famoso mensaje mediante Messenger
Fotos_para_adultos_de_alguien.rar. Enviando cdigo malicioso a los contactos de la
cuenta, hubo muchos casos de infeccin mediante esta tcnica.
Hoy en da, los ciberdelincuentes buscan engaar a sus vctimas para que entreguen
voluntariamente su informacin personal. La mutacin se dio no slo hacia sitios web, sino
tambin se ha transformado en mensajes de texto, y cualquier tipo de mensajera mvil. La
importancia de este vector de ataque radica en que estos dispositivos mviles almacenan
gran cantidad de informacin personal, como contactos, fotos, conversaciones, usuarios y
contraseas de redes sociales, de correos electrnicos, inclusive geo localizacin.
Tambin han aparecido tcnicas como pharming, muy similar al phishing, pero que en vez
de engaar al usuario mediante un enlace enviado por correo electrnico, busca el robo de
informacin mediante la modificacin en tiempo real de las consultas realizadas a los
servidores DNS o mediante la toma de control del equipo vctima; as, modifica el archivo
lmhost, que se encarga de resolver las consultas web, asociando la direccin IP al dominio.

Ataque Man In The Middle (MITM):

Ataque Man In The Middle, o en espaol Hombre en el Medio, consiste en introducirse en
la comunicacin entre dos equipos para que todo el trfico pase por nosotros y poder as
desencriptar sus datos, contraseas, etc.

[Escriba texto] Pgina 8

Para este tipo de ataques se necesitan dos mquinas vctima, que bien podra ser el servidor
y un equipo de una red empresarial, o bien el router y el equipo de nuestra vctima real,
adems de nuestro propio equipo.
El atacante en este caso, tiene la habilidad de desviar o controlar las comunicaciones entre
dos partes. Por ejemplo, si se tratase de un ataque MITM a un correo, el perpetrador podra
desviar todos los e-mails a una direccin alterna para leer o alterar toda la informacin
antes de enviarla al destinatario correcto.

La mayora de los protocolos de cifrado como SSL utilizan algn tipo de autenticacin de
extremo a extremo (end-to-end), especficamente para prevenir ataques MITM. Con
Heartbleed se compromete la funcin de SSL de autenticar una o ambas partes de la
comunicacin a travs de un certificado de seguridad confiable, dejando la puerta abierta
para el hombre en el medio. Por eso es tan peligroso.

Todo sistema de cifrado que se respete se protege contra ataques MITM requiriendo la
trasmisin de la informacin a travs de un canal seguro adicional, al cual solo se puede
acceder con la llave de cifrado segura correspondiente. Si el atacante logra acceder a esa
llave, puede comenzar un ataque MITM.

Proteccin ante MITM:

Usar siempre HTTPS: muchos sitios web ofrecen desde hace tiempo comunicaciones
cifradas a travs de SSL, siempre que visites una pgina asegrate de que la direccin
muestre HTTPS en lugar de HTTP, y si no lo hace, escrbelo manualmente. Esto no te
protege de vulnerabilidades del lado del cliente, y de sitios que no han aplicado el parche a
Heartbleed si fueron afectados, pero al menos evita que que los ataques menos sofisticados
intercepten tus comunicaciones.

Activar la verificacin de dos pasos: muchos servicios han comenzado a ofrecer

verificacin de dos factores en sus servicios para aumentar la seguridad del acceso a las
cuentas de usuario. Siempre que el mecanismo de verificacin de los dos factores sea
suficientemente fuerte, esta es otra linea de defensa contra atacantes.

[Escriba texto] Pgina 9

Usar una red VPN: de esta manera la conexin se cifra entre un cliente VPN y un servidor
VPN, establecindose a travs de un tnel de comunicacin seguro.
BEEF:
La BeEF es la abreviatura de The Browser Exploitation Framework. Es una herramienta de
pruebas de penetracin que se centra en el navegador web.

En medio de la creciente preocupacin por los ataques procedentes de Internet en contra de

los clientes, incluyendo clientes mviles, BeEF permite la prueba de intrusin profesional
para evaluar la situacin de seguridad actual de un entorno de destino mediante el uso de
vectores de ataque del lado del cliente. A diferencia de otros entornos de seguridad, BeEF
mira ms all del permetro de la red endurecido y sistema cliente, y examina
explotabilidad en el marco de la puerta abierta: el navegador web.

BeEF enganchar (hook) uno o ms de los navegadores web y los utilizan como cabezas
para el lanzamiento de los mdulos de comando dirigidas y nuevos ataques contra el
sistema desde dentro del contexto del explorador.

The Browser Exploitation Framework (BeEF ) es una poderosa herramienta de seguridad

profesional. La BeEF usa tcnicas pioneras que proporcionan la prueba de intrusin con
experiencia a los vectores de ataque del lado del cliente prcticos. A diferencia de otros
marcos de seguridad , BeEF se centra en el aprovechamiento de las vulnerabilidades del
navegador para evaluar la postura de seguridad de un objetivo. Este proyecto es
desarrollado exclusivamente para la investigacin legal y pruebas de penetracin .

BeEF engancha (Hook) uno o ms navegadores web como cabezas de playa para la puesta
en marcha de los mdulos de mando dirigidos . Cada navegador es probable que sea en un
contexto de seguridad diferente, y cada contexto puede proporcionar un conjunto de
vectores de ataque nicos. El marco permite que el probador de la penetracin pueda
seleccionar los mdulos especficos ( en tiempo real ) para apuntar a cada navegador , y por
lo tanto a cada contexto.

[Escriba texto] Pgina 10

El marco contiene numerosos mdulos de comando que emplean API sencilla y potente de
la BeEF. Esta API est en el corazn de la eficacia y eficiencia de la estructura. Se abstrae
la complejidad y facilita el desarrollo rpido de los mdulos personalizados.

3. PROPUESTA

Propuesta
1. Presentacin:
La investigacin tiene como principal objetivo demostrar cmo se puede afectar o
aprovechar una vulnerabilidad por medio de ingeniera social a travs de un browser. Una
vez se ha logrado el objetivo de establecer la conexin se ejemplificar como direccionar
todo el trfico hacia una sola direccin IP.

2. Justificacin:
Dado que la demostracin se har por medio de un ataque, es importante mencionar que
precisamente para tener menos riesgos y vulnerabilidades es necesario conocer de que nos
defendemos.
Adelantarse a los posibles cibercriminales solucionando vulnerabilidades que pueden
provocar un ciberataque.
Concienciar a los profesionales de las compaas de la importancia de la seguridad
informtica en su trabajo diario.
El hacking tico analiza los sistemas y programas informticos corporativos, asumiendo el
rol de un ciberdelincuente y simulando ataques a la empresa con el objetivo de evaluar el
estado real de si seguridad TI. Para llevar a cabo este hacking tico es imprescindible contar
con la autorizacin expresa de la empresa, plasmada en un contrato donde se indiquen las
obligaciones que debe cumplir el auditor (confidencialidad, integridad, secreto profesional,
lmites de la auditora, etc.). El resultado final indica los puntos dbiles de la empresa y que

[Escriba texto] Pgina 11

pasos se deben realizar para eliminar dichas debilidades o mitigarlas caso de no ser posible
su eliminacin.

3. Objetivos.
Demostrar el uso de la ingeniera social.
Utilizacin de Beef para direccionar el trfico de una pgina hacia una sola IP.
Identificar tipos de ataque por medio de browsers.

4. Organizacin Requerida.
Derivado del mbito en el que se realiza, adicional al grupo conformado por siete personas,
se necesita de dos mquinas, una con Sistema

5. Plan de Accin:
Levantar una mquina virtual con Sistema Operativo Windows
Levantar una mquina virtual con Sistema Operativo Kali Linux
Elaboracin de pgina donde se ejecutar el Script
Preparacin del Script que se ejecutar en el navegador.
Demostracin de la ejecucin y anlisis de los resultados.

[Escriba texto] Pgina 12

CONCLUSIONES

Mediante el estudio realizado sobre los problemas que genera el crecimiento de la

tecnlogia dentro de la sociedad, establecimos una posible solucin para mitigar en un
porcentaje alto, la vulnerabilidad que sufren los equipos y usuarios ante los hechos
delictivos. Para lo cul establecimos como alternativa un tipo de Ingeniera Social, la cul
por el lado de las vctimas, algunas organizaciones han puesto en marcha este tipo de
pruebas (de forma tica), contratando empresas especializadas en seguridad para comprobar
el apego del personal a las polticas y controles definidos; como prueba de confiabilidad
para ocupar puestos estratgicos de acuerdo a la operacin del negocio; para el
cumplimiento regulatorio de algn estndar o legislacin; como parte de la difusin y
continuidad de planes internos de concientizacin sobre seguridad.

[Escriba texto] Pgina 13

ANEXOS

[Escriba texto] Pgina 14

[Escriba texto] Pgina 15
[Escriba texto] Pgina 16
[Escriba texto] Pgina 17
[Escriba texto] Pgina 18