TAREA 1

1. DEFINA EL CONCEPTO DE MALWARE

El malware (abreviatura de “software malicioso”) se considera un tipo molesto o dañino

de software destinado a acceder a un dispositivo de forma inadvertida, sin el conocimiento
del usuario. Los tipos de malware incluyen spyware (software espía), adware (software
publicitario), phishing, virus, troyanos, gusanos, rootkits, ransomware y secuestradores
del navegador.

2. DEFINA Y DETALLE LAS PRINCIPALES CARACTERÍSTICAS,

VARIANTES Y TÉCNICAS EMPLEADAS DE:

a. Gusano

Son programas que realizan copias de sí mismos, alojándolas en diferentes ubicaciones

del ordenador. El objetivo de este malware suele ser colapsar los ordenadores y las redes
informáticas, impidiendo así el trabajo a los usuarios. A diferencia de los virus, los
gusanos no infectan archivos.

Características Principales:

- Programa independiente (una vez en el sistema no depende de agente externo

alguno).
- Se reproduce (con la capacidad de autorreplicación).

Variantes:

Gusanos que se propagan a través de las redes locales. Usando los recursos
simultáneos en una red local, pudiendo llegar, incluso, a bloquearla.

Gusanos que se propagan por medio de aplicaciones P2P (peer to peer). Creando en
los directorios compartidos que usan las aplicaciones nombradas, ficheros con nombres
atrayentes para otros usuarios, logrando así que los descarguen en sus equipos.

Gusanos que se propagan a través de aplicaciones de mensajería. Aprovechan la

popularidad que tienen en Internet los programas de mensajería instantánea.
No obstante, hay que mencionar que ésta es una vía alternativa de propagación ya que la
mayor parte de gusanos pensados para ser enviados a través de este medio lo realizan a
través del mail.
Gusanos que se ocultan en el código HTML del mensaje de mail. Este es un método
bastante usado de infección ya que se activa de forma automática solo con visualizar el
mensaje en la vista previa de Outlook.

Gusanos que se propagan a través de Internet. Podríamos decir que ésta es de las
últimas generaciones de gusanos que ha aparecido.
Este tipo de virus no requieren de ningún tipo de soporte para propagarse de un ordenador
a otro, porque su método consiste en localizar puertos de comunicaciones que no están
protegidos para instalarse en los equipos de manera oculta para el usuario.

Técnicas empleadas:

Los gusanos suelen utilizar técnicas de ingeniería social para conseguir mayor
efectividad. Para ello, los creadores de malware seleccionan un tema o un nombre
atractivo con el que camuflar el archivo malicioso. Los temas más recurrentes son los
relacionados con el sexo, famosos, temas de actualidad o software pirata.

Atacan sobre todo las debilidades que pueden contener los Sistemas Operativos en
relación con esos procesos automáticos internos y transparentes al usuario, o simplemente
engañando al mismo utilizando cebos diversos como archivos adjuntos a correo
electrónico o mensajes en la WEB con hipervínculos a lugares inadecuados.

b. Troyano

Es un programa malicioso, algunas veces invisible para el usuario legítimo, es conocido

por hacerse pasar por programas reales y legítimos (imágenes, videos, correos
electrónicos, archivos de música) creando un acceso del control remoto al usuario no
autorizado.

Características principales:

- Programa dependiente (una vez en el sistema depende de agente externo para llevar a
cabo su daño).

- No se reproduce (no tiene por tanto la capacidad de autorreplicación).

- Se esconden dentro de los archivos ejecutables

Variantes:
Troyano Backdoor: este tipo de troyano habilita un canal de acceso no convencional en
el sistema permitiendo que otros malware y/o personas malintencionadas ingresen sin
inconvenientes al mismo.

Troyano Drooper: se caracteriza por ejecutar otros códigos maliciosos al momento de

su ejecución.

Troyano Keylogger: en este caso, el troyano se encarga de monitorear y registrar todo

lo que se tipea con el teclado. Está netamente orientado al robo de información
confidencial. Algunos de ellos tienen la capacidad de realizar capturas de pantallas.

Troyano Bancario: se refiere a aquellos que ayudan en la ejecución de ataques de

phishing. En muchos casos, modifican el contenido del archivo hosts de los sistemas
Windows. Esta técnica es denominada pharming local.

Troyano Downloader: estos códigos maliciosos se encargan de descargar otros códigos

maliciosos mientras se encuentran activos.

Troyano Bot: la función principal de este tipo de troyanos es convertir una computadora
en zombi. Cada una de estas computadoras zombis formará parte de redes botnets.

Técnicas empleadas :

Puede considerarse un virus a los efectos de las vulnerabilidades que explota pues la
manera que tiene de introducirse en los sistemas es mediante el disfraz de la inocuidad o
el engaño: ficheros adjuntos al correo electrónico, visita a sitios web poco fiables, ficheros
en dispositivos de almacenamiento descontrolados. También son vulnerables los equipos
donde se ejecutan servicios propios de http, ftp o smtp, así como los que usan programas
de compartición de archivos (mensajería, P2P), que abren puertos que facilitan la labor
del atacante.

c. Virus

Programa autorreplicante que careciendo del permiso o conocimiento del usuario “legal”
altera de una u otra manera el normal funcionamiento de un sistema o parte de él,
afectando a uno o más activos del mismo. Aquí es importante tener presente que es el
propio usuario el que lo “lanza”, aunque sin saberlo.

Características fundamentales:
- Programa independiente (una vez en el sistema no depende de agente externo alguno).

- Se reproduce (con la capacidad de autorreplicación).

Variantes:

Virus de acción directa, Virus residentes, Virus de sobreescritura, Virus de sector de

arranque, Macro Virus, Virus polimórfico, Virus fat, Virus de secuencias de comandos
web.

Técnicas empleadas:

Las contaminaciones por virus se producen por:

- Ejecución de archivos ejecutables adjuntos al correo electrónico con el código de virus

en él “instalado”.

- Ingeniería social, donde se adjuntan links o programas que sin saberlo, y creyendo que
hacen otra cosa, lanzan el virus.

- Entrada desde interfaces con el exterior: discos, USB, bluetooth, infrarrojos.

- Instalación de software ilegal o “pirata”.

d. Backdoors

Software que permite el acceso al sistema sin la debida autentificación o facilitando la

entrada de información no deseada desde fuera, pues han abierto algún puerto en el
equipo. Se trata de un agujero-trampa y su funcionamiento en el primer caso se asemeja
al de un troyano, en el segundo caso al de un gusano.

Características principales:

 Eliminar la evidencia de la entrada inicial de los logs del sistema.

 Mantener el acceso a la máquina.

 Para ocultarlo se añade un nuevo servicio y le suele dar un nombre del cual no se
sospeche o mejor aún, utilizar un servicio que nunca se use, que este activado
manualmente o totalmente deshabilitado.

Variantes:
Backdoor de Conexión Directa.- Cuando el cliente(atacante) se conecta al
servidor(víctima) que está previamente instalado

Backdoor Conexión Inversa.-El servidor (víctima) donde se encuentra previamente

instalado, se conecta al cliente(atacante). Aquí se ilustra varios de este tipo:

e. Keyloggers

Programa espía que monitorean y analizan el sistema en busca de claves y otros datos que
el usuario ponga a disposición del atacante y a éste le interese, mediante las pulsaciones
del teclado. Aquí pueden interesar desde claves de sesión de Windows, pasando por las
claves de acceso a determinadas aplicaciones, hasta el rastreo de claves en páginas de
banca electrónica u otros similares, incluso el rastreo de conversaciones comprometidas
o íntimas.

Características principales:

- Grabación de toda la información, que se introduce desde el teclado;

- Vigilancia de cambios del portapapeles de Windows;

- Invisibilidad absoluta del programa (tan sólo, usted conoce la combinación secreta de
teclas para mostración/ocultación del programa);

- Tamaño pequeño del programa, gasto mínimo de recursos sistémicos.

Variantes:

Keyloggers con software: forma parte de otros malware como troyanos o rootkits. Éste
es el más sencillo de instalar dentro de un equipo, porque no se necesita acceder a la
máquina físicamente. Otro tipo de keylogger con software tiene la función de imitar una
API del sistema operativo del equipo infectado, permitiendo al keylogger guardar cada
pulsación que se haga.

keyloggers con hardware: son menos habituales y más difíciles de instalar en un equipo.
Esta variedad necesita que el criminal tenga acceso físico al ordenador, durante el proceso
de fabricación o durante su uso. Otros keyloggers se pueden instalar a través de un USB
o mediante un conector falso que una el teclado con el ordenador. Los keylogger con
hardware son más flexibles para los cybercriminales, ya que son independientes del
sistema operativo.
f. Ransomware

Programa típicamente introducido por hacker mediante troyano que cifra ficheros del
sistema objeto (de cierta importancia); dicho archivo cifrado al ser accedió por el usuario
lícito lanza un mensaje anunciando que para la obtención de la clave para descifrarlo ha
de transferir cierta cantidad a determinada cuenta bancaria en paraíso fiscal.

Características del ransomware:

- Este tipo de virus se camufla dentro de otro archivo o programa apetecible para el
usuario que invite a hacer click,
- Una vez que ha penetrado en el ordenador, el ransomware se activa y provoca el
bloqueo de todo el sistema operativo y lanza el mensaje de advertencia con la
amenaza y el importe del rescate que se ha de pagar para recuperar toda la
información.

Variantes:

Locker Ransomware: impide el acceso al ordenador infectado.

Crypto Ransomware: cifra los archivos, impidiendo que los datos almacenados en el
ordenador sean accedidos. En ambos casos el usuario malintencionado solicita rescate
para la liberación o descifrado de los datos secuestrados.

g. Spam

El spam es el correo electrónico no solicitado que es enviado en cantidades masivas a un

número muy amplio de usuarios generalmente con el fin de comercializar, ofertar o tratar
de despertar el interés con respecto a algún producto o servicio. Este tipo de correos
electrónicos suponen también, en muchos casos, la punta de lanza para cometer
ciberdelitos como el phishing o el scam.

Características:

Algunas de las características más comunes que presentan este tipo de mensajes de
correo electrónico son:

- La dirección que aparece como remitente del mensaje no resulta conocida para el
usuario, y es habitual que esté falseada.
- El mensaje no suele tener dirección Reply.
 - Presentan un asunto llamativo.
- El contenido es publicitario: anuncios de sitios web, fórmulas para ganar dinero
fácilmente, productos milagro, ofertas inmobiliarias, o simplemente listados de
productos en venta en promoción.
- La mayor parte del spam está escrito en inglés y se origina en Estados Unidos o
Asia, pero empieza a ser común el spam en español.

Variantes:

Spam: enviado a través del correo electrónico.

Spim: específico para aplicaciones de tipo Mensajería Instantánea (MSN Messenger,

Yahoo Messenger, etc).

Spit: spam sobre telefonía IP. La telefonía IP consiste en la utilización de Internet como
medio de transmisión para realizar llamadas telefónicas.

Spam SMS: spam destinado a enviarse a dispositivos móviles mediante SMS (Short
Message Service).

Técnicas empleadas:

Se utilizan distintas técnicas, algunas de ellas altamente sofisticadas:

Listas de correo: el spammer se da de alta en la lista de correo, y anota las direcciones

del resto de miembros.

Compra de bases de datos de usuarios a particulares o empresas: aunque este tipo de

actividad es ilegal, en la práctica se realiza, y hay un mercado subyacente.

Uso de robots (programas automáticos), que recorren Internet en busca de direcciones

en páginas web, grupos de noticias, weblogs, etc.

Técnicas de DHA (Directory Harvest Attack): el spammer genera direcciones de correo

electrónico pertenecientes a un dominio específico, y envía mensajes a las mismas. El
servidor de correo del dominio responderá con un error a las direcciones que no existan
realmente, de modo que el spammer puede averiguar cuáles de las direcciones que ha
generado son válidas. Las direcciones pueden componerse mediante un diccionario o
mediante fuerza bruta, es decir, probando todas las combinaciones posibles de
caracteres.

h. Phishing

El Phishing es un tipo de fraude en el que el atacante procura aprender información

relativa al usuario, como credenciales de acceso o información de cuentas, enmascarando
su identidad y haciéndose pasar por una entidad o persona. Las vías principales de
Phishing son el email, apps de mensajería instantánea y otros canales de comunicación
en la red.

Características fundamentales:

- Se toma como referencia la identidad de una empresa u organismo reconocido.

- Los enlaces maliciosos dentro del cuerpo del mensaje son diseñados para que aparenten
dirigirse a la organización en cuestión.

- El uso de subdominios (un ejemplo podría ser “google.spain.es” y las urls modificadas
(typosquatting) como podría ser “googl.e” o “microsofft.com” son también comunes.

- También se puede alterar la URL del remitente que se nos muestra al situar el ratón por
encima, mediante Javascript.

Variantes

Cartas nigerianas: el usuario recibe un email que ofrece una gran suma de dinero en una
divisa extranjera. Para conseguir ese dinero, el phiser reclama la cuenta bancaria, el
nombre, el DNI, etc.

Hoax: son peticiones de donaciones solidarias aprovechando, por ejemplo, sucesos de

actualidad (como terremotos, guerras o catástrofes). Para ello, se demandan los datos
bancarios con la finalidad de poder llevar a cabo dicha “donación”.

Vishing: la víctima recibe un mensaje en que se pide que llame a un número de teléfono
concreto para obtener un regalo u otra información. En la práctica, sin embargo, se estará
contactando con falsos centros de atención telefónica que reclamarán datos privados.

Mulas: es, en esencia, utilizar al usuario para blanquear el dinero obtenido del phishing.
Este último recibe un email que, de manera persuasiva, alerta de la posibilidad de ganar
un porcentaje de dinero con, tan sólo, realizar una transferencia económica de una cuenta
a otra y quedarse él con una “comisión”.

Keyloggers y screenloggers: el phiser emplea este tipo de herramientas para registrar las
pulsaciones que el usuario hace sobre las teclas (keys), o capturar imágenes de pantalla
(screen), y, de esta manera, conocer sus claves o contraseñas.

Malware-based phishing: se refiere a aquel delito que, sirviéndose del phishing, hace
que se ejecute un código malicioso o virus en un ordenador.

Man-in-the-middle phishing: se produce cuando el ciberdelincuente es capaz de situarse

entre el usuario y el servidor para obtener información personal.

Smishing SMS: los atacantes suplantan la identidad de alguna compañía o empresa y

envían mensajes de texto al teléfono móvil de algún ciudadano, reclamándole a éste datos
confidenciales. Los phisers también pueden engañar al incauto usuario diciéndole que ha
ganado un premio y que, para obtenerlo, es necesario responder con un código.

Spear phishing: son aquellas campañas que también se realizan por correo electrónico
para obtener información confidencial y privada, pero, en este caso, el fraude va dirigido
a grupos reducidos y específicos, por lo que no es de carácter masivo.

En general existen gran variedad de técnicas por las que un malware puede llegar a un
ordenador:

Explotando una vulnerabilidad: cualquier programa del ordenador puede tener una
vulnerabilidad o agujero de seguridad que puede ser aprovechada para introducir
programas maliciosos. Todos los programas instalados en el equipo: sistemas operativos
(Windows, Linux, MacOS, etc), navegadores web (Internet Explorer, Firefox, Opera,
Chrome, etc), clientes de correo electrónico (Outlook, Thunderbird, etc) o cualquier otra
aplicación son susceptibles a tener alguna vulnerabilidad que puede ser aprovechada por
un atacante para introducir programas maliciosos.

Ingeniería social: Las técnicas de ingeniería social apremian al usuario a que realice
determinada acción. La ingeniería social se utiliza sobre todo en correos de phishing,
informando de una falsa noticia de gran impacto, o amenazando al usuario de diversas
formas. Tanto para los correos de phishing como para el resto de mensajes con contenido
generado con ingeniería social, lo más importante es no hacer caso de ellos.
A través de un archivo malicioso: esta es la forma que tienen gran cantidad de troyanos
de llegar al equipo. El archivo malicioso puede llegar como adjunto de un mensaje, por
redes P2P, como enlace a un fichero que se encuentre en Internet, a través de carpetas
compartidas en las que el gusano haya dejado una copia de sí mismo, etc. La mejor forma
de prevenir la infección es analizar con un buen antivirus actualizado todos los archivos
antes de ejecutarlos, además de no descargar archivos de fuentes que no sean fiables.

Dispositivos extraíbles (ej: llaves USB): muchos gusanos suelen dejar copias de sí
mismos en dispositivos extraíbles para que automáticamente, cuando el dispositivo se
conecte a un ordenador, ejecutarse e infectar el nuevo equipo.

3. DEFINA EL SIGNIFICADO DE IPS E IDS, INDIQUE 3 NOMBRES DE

SOFTWARE Y/O EQUIPOS QUE PERMITEN IMPLEMENTAR ESTOS
SERVICIOS EN UNA RED.

Los IDS (Intrusion Detected System) son sistemas encargados de detectar y reaccionar
de forma automatizada ante los incidentes de seguridad que tienen lugar en las redes y
equipos informáticos. Para ello, estos sistemas se encargan de monitorizar el
funcionamiento de los equipos y de las redes en busca de indicios de posibles incidentes
o intentos de intrusión, avisando a los administradores del sistema informático ante la
detección de cualquier actividad sospechosa mediante una serie de alarmas e informes.

Un sistema IPS (Intrusion Prevention System) es un sistema que permite prevenir las
intrusiones. Se trata, por tanto, de un tipo de sistema que pretende ir un paso más allá de
los IDS, ya que puede bloquear determinados tipos de ataques antes de que estos tengan
éxito. Los IPS buscan anomalías (o comportamientos anómalos) a nivel del sistema
operativo, comprueban los módulos cargados por el núcleo, monitorean la actividad del
sistema de archivos, buscan RootKits en el sistema, etc.

A continuación se enumeran algunos software de IDS/IPS bajo licenciamiento

OpenSource:

 Suricata
 Snort
 Bro
4. ¿DEFINA Y EXPLIQUE EL FUNCIONAMIENTO DE DOS Y DDOS, CUAL ES
LA DIFERENCIA ENTRE ELLAS?

Un ataque de denegación de servicios DoS (Denial of Service), consiste en enviar un

enorme flujo de solicitudes sobre un objetivo, para conseguir que este se sobrecargue y
no pueda resolverlas, de forma que quede inoperativo.

La diferencia entre un DoS y un DDoS, es básicamente que el DDoS se realiza de forma

distribuida, de aquí su nombre “ataque distribuido de denegación de servicios”
(Distributed Denial of Service).

El DoS suele realizarse desde un único atacante, por lo que para los sistemas atacados
resulta relativamente sencillo detener dicho ataque.

En el segundo caso, en el DDoS, el ataque lo realizan múltiples orígenes, que pueden

llegar a ser miles, todos contra un objetivo, normalmente este tipo de ataques son muy
difíciles de detener debido a la complejidad que representa diferenciar las solicitudes que
deben ser autorizadas de las malignas. Para llevar a cabo este tipo de ataques se suelen
utilizar las llamadas botnets, normalmente formadas por cientos o miles de equipos
informáticos, que previamente han sido infectados con aplicaciones especializadas en
estos ataques, y que pueden ser controlados remotamente por el agresor.

REFERENCIAS

- http://sabia.tic.udc.es/docencia/ssi/old/2008-
2009/docs/trabajos/Trabajo%20Malware%20(UDC%20Mayo%202009).pdf
- https://www.ujaen.es/servicios/sinformatica/sites/servicio_sinformatica/files/upl
oads/guiaspracticas/Guias%20de%20seguridad%20UJA%20-
%203.%20Malware.pdf
- http://www.sallent.net/web/blog/?p=34
- https://www.internetlab.es/post/2499/worms/