Conceptos de Malware

Definición

malicious software

Malware

Sofware diseñado específicamente para ocasionar daño o

interrupción de un sistema, como virus.
Incremento de los Riesgos de Seguridad
Al avanzar en mejoras que incrementen la productividad, aumentan los riesgos derivados de fallas
tecnológicas por el mayor impacto que tienen y la mayor probabilidad de que ocurran.

Alto

Móvil Mayor Riesgo

Impacto de las
Fallas Internet

Cliente/
Server

MF
Bajo 1970s 1980s 1990s 2000s
Baja Probabilidad de Fallas Alta
Camino de Acceso lógico

Business
Processes
Riesgos del acceso lógico
La explotación de las debilidades de los controles de acceso lógico de manera accidental o intencional conlleva a
exposiciones técnicas y a crímenes de computador.

EXPOSICIONES TECNICAS
Data diddling Involucra el cambio de datos antes o en la medida que estos son ingresados al computador. Este es uno
de los abusos más comunes porque requiere de un conocimiento técnico limitado y ocurre antes de que
la seguridad del computador pueda proteger los datos
Caballo de troya Involucra código fraudulento, malicioso, escondido en un programa de computador autorizado. Este
código escondido se ejecutará cada vez que el programa autorizado sea ejecutado. Un ejemplo clásic
es el caballo de troya en el programa que calcula la nómina que rebana montos escasament
detectables de cada cifra a pagar y los abona a la cuenta de nómina del perpetrador.
Redondeo hacia abajo Involucra la extracción de pequeñas cantidades de moneda de una transacción computarizada o cuenta
(Rounding down) para re-enrutar dicho monto a la cuenta del perpetrador. El término redondeo hacia abajo se refiere a
retirar pequeñas fracciones decimales para transferirlas a una cuenta no autorizada. Debido a que los
montos son tan pequeños, éstos son raramente identificados.
Técnica de salami Involucra el retiro de pequeñas cantidades de moneda de una transacción computarizada o cuenta y es
similar a la técnica del redondeo hacia abajo. La diferencia entre la técnica de redondeo hacia abajo y la
técnica del salami es que en el redondeo hacia abajo, el programa corta por el centavo. Por ejemplo, si
una transacción fue de $1,235,954.39, la técnica del redondeo hacia abajo puede redondear la
transacción a $1,235,954.35. La técnica del salami trunca los últimos dígitos del monto de la transacción
de forma que $1,235,954.39 puede quedar en $1,235,954.30 o $1,235,954.00 dependiendo del cálculo
diseñado dentro del programa.
Riesgos del acceso lógico
EXPOSICIONES TECNICAS (Cont.)
Virus Código malicioso insertado en otro código ejecutable que puede autoreplicarse y diseminarse de una
computadora a otra.
Atacan por lo general 4 partes del computador:

Archivos de programas ejecutables

Sistema de directorio de archivos que rastrea la ubicación de todos los archivos del computador

Areas de autoarranque y de sistema que son necesarias para iniciar el computador

Archivos de datos

Gusanos (worms) Programas que pueden destruir los datos o utilizar recursos poderosos del computador y de comunicación
pero no se replican como los virus. Dichos programas no cambian otros programas, sino que pueden
ejecutarse independientemente y viajar de una máquina a otra a través de las conexiones de red.
Pueden tener porciones de ellos mismos ejecutándose en diferentes máquinas.
Bombas lógicas Similares a los virus pero no se autorreplican.
Su creación requiere algún conocimiento especializado ya que involucra programar la destrucción o la
modificación de datos a una hora específica en el futuro.
A diferencia de los virus y los gusanos, las bombas lógicas son muy difíciles de detectar antes de que
estallen.
Puertas traseras Puertas de salida de un programa autorizado que permiten la inserción de una lógica específica. Por ejemplo,
(trap doors) el programa se interrumpe para permitir una revisión de datos durante el procesamiento.
Estos huecos también permiten la inserción de lógica no autorizada.
Riesgos del acceso lógico
EXPOSICIONES TECNICAS (Cont.)
Ataques Asincrónicos Ocurren en los ambientes de multiprocesamiento donde los datos se mueven de manera asincrónica a
través de las líneas de telecomunicaciones.
Cuando las transmisiones están en espera a que la línea se desocupe antes de ser transmitidas, los
datos que están en espera son susceptibles de accesos no autorizados llamados ataques asincrónicos.
Pérdida de información Involucra pérdida de información fuera del computador. Esto puede involucrar la impresión de
(Data Leakage) documentos o puede ser tan simple como robar reportes y cintas de computador.

Intercepción de líneas Escuchar furtivamente la información que es transmitida a través de las líneas de telecomunicaciones.
(Wire Tapping)

Piggybacking Acto de seguir a una persona autorizada a través de una puerta asegurada o conectarse
electrónicamente a un enlace autorizado de telecomunicaciones para interceptar y posiblemente alterar
las transmisiones.
Denegación del Es un ataque que interrumpe o niega por completo el servicio a los usuarios, redes, sistemas y otros
Servicio recursos legítimos. La intención de este ataque es usualmente maliciosa por naturaleza y requiere de
habilidades técnicas porque las herramientas necesarias para realizarlo están disponibles.
Paquetes Mal Formados: Paquetes elaborados para causar que los recursos de los sistemas o la red
se consuman y agoten.
Inudación de Paquetes: Paquetes enviados con alta frecuencia para consumir y agotar los recursos de
un sistema.
Riesgos del acceso lógico
EXPOSICIONES A CRIMENES DE COMPUTADOR
Los sistemas de computador pueden ser utilizados para robar dinero, software, bienes o
información corporativa. Crímenes también se pueden cometer cuando los procesos o datos del
sistema son manipulados para aceptar transacciones falsas o no autorizadas. El simple robo de un
computador es un método de crimen de computador no técnico.

El crimen de computador puede ser efectuado sin que absolutamente nada físico haya sido tomado
o robado. Simplemente la observación de los datos computarizados puede proveer a un ofensor
con suficiente inteligencia para robar ideas o información confidencial (propiedad intelectual).

Cometer crímenes que explotan el computador y la información en él contenida puede resultar en:
daños a la reputación y la moral de la organización, pérdida de clientes, imagen de la gerencia y
acciones legales en contra de una organización.
Otros riesgos
Ingenieria En el mundo de los computadores, es el acto de obtener o intentar obtener datos protegidos, motivando a un individuo a
social revelar información segura. La ingenieria social es exitosa porque sus víctimas de manera innata desean confiar en la otra
persona y le brindan ayuda de manera natural. Las víctimas de ingenieria social son motivadas para revelar información
que ellos desconocen será utilizada para atacar una red de computadores. Por ejemplo, un empleado puede ser motivado
para revelar el número de identificación de otro empleado a alguien que se hace pasar como una persona de su confianza
o representa a alguien en el que él confía. Mientras que el número del empleado podría no ser de valor para el empleado
que revela la información, lo cual le facilita dar la información, el ingeniero social puede utilizar ese número de empleado
en conjunto con otra información que ha sido recolectada para faciitar el acceso no autorizado a la red de la empresa..
Phishing Es un tipo de ataque que se apoya en la ingeniería social. Motiva a la víctima a revelar información basada en la
tendencia humana de creer en la seguridad del nombre de una marca porque ellos asocian el nombre de la marca con la
confianza que le merece.

El acto de enviar un e-mail a un usuario mostrando falsamente que es una entidad legítima en un intento por motivar al
usuario a entregar información privada que será utilizada para robar la identidad. El e-mail dirige al usuario a visitar un sitio
Web donde se le solicita actualizar su información personal como contraseña y tarjeta de crédito, seguridad social, y los
números de las cuentas bancarias que la organización legítimamente ya tiene. El Web site, sin embargo, es falso y está
configurado solamente para robar la información del usuario.

Phishing, también conocido como spoofing de la marca, es una variación de "fishing," la idea es que la red es lanzada con
la esperanza que entre más ignoren la trampa, algunos van a estar tentados a morderla.

Pharming Similar en naturaleza a un e-mail phishing, pharming busca obtener información personal o privada (usualmente
financiera) a través de un dominio falso (domain spoofing). El Pharming contamina un servidor de dominio mediante la
infusión de información falsa dentro del servidor DNS, redirigiendo la solicitud de un usuario a otra parte. Su browser, sin
embargo, le mostrará que está en el servidor correcto, lo cual hace del pharming un poco más difícil de detectar. Phishing
intenta engañar a una persona con un e-mail mientras que el pharming ataca a un gran grupo objetivo de personas al
mismo tiempo a través del spoofing del dominio.
Incremento de los Riesgos de Seguridad
Al avanzar en mejoras que incrementen la productividad, aumentan los riesgos derivados de fallas
tecnológicas por el mayor impacto que tienen y la mayor probabilidad de que ocurran.

Alto

Móvil Mayor Riesgo

Impacto de las
Fallas Internet

Cliente/
Server

MF
Bajo 1970s 1980s 1990s 2000s
Baja Probabilidad de Fallas Alta
Riesgos en ambientes cliente/servidor
Tradicionalmente la tecnología de información en las organizaciones empleaba grandes sistemas de computador central. A principios
de los 90s, la tecnología cliente/servidor llego a ser uno de las formas predominantes de las organizaciones para procesar datos en
producción y para desarrollar y entregar productos y servicios de misión crítica. La tecnología cliente-servidor permite a las unidades
de negocio desarrollar y entregar productos y servicios al mercado de una manera más rápida que los métodos tradicionales. Lo
negativo es que los controles sobre estos sistemas están por debajo del estándar de aquellos asociados con sistemas mainframe
tradicionales. Sin embargo, existen mayores riesgos que pueden impactar severamente el negocio de una compañía si no se
implementan controles para prevenirlos o detectarlos.
Las áreas de riesgo y preocupación en un ambiente cliente-servidor generalmente son:
● Los controles de acceso pueden ser débiles si los administradores de la red no configuran de manera apropiada los controles sobre
la creación y uso de contraseñas.
● Procedimientos de control y administración de cambios, sean automáticos o manuales, pueden generar debilidades. La razón
primaria es el alto nivel de sofisticación de las herramientas de control de cambios en cliente-servidor que junto con la inexperiencia
del personal de sistemas, quienes generalmente se reusan a utilizar dichas herramientas, podría generar limitaciones en su
capacidad.
● La pérdida de disponibilidad de la red puede causar un impacto serio en el negocio o servicio.
● Obsolescencia de los componentes de la red, incluyendo, software, hardware y comunicaciones
● Uso indiscriminado o no autorizado de modems sincrónicos o asincrónicos para conectar la red a otras redes.
● Conexión de la red a las redes públicas de teléfonos
● Cambios inexactos, no autorizados o no aprobados de sistemas y datos.
Incremento de los Riesgos de Seguridad
Al avanzar en mejoras que incrementen la productividad, aumentan los riesgos derivados de fallas
tecnológicas por el mayor impacto que tienen y la mayor probabilidad de que ocurran.

Alto

Móvil Mayor Riesgo

Impacto de las
Fallas Internet

Cliente/
Server

MF
Bajo 1970s 1980s 1990s 2000s
Baja Probabilidad de Fallas Alta
Amenazas en Internet

La naturaleza de internet lo hace vulnerable a ataques. Internet es un sistema global basado en

tecnología TCP/IP que permite a redes de distinta índole, públicas y privadas conectarse con otras
redes. En los últimos años se ha estimado que cerca de 300 millones de computadores se
encuentran conectados via internet. Originalmente fue diseñado para permitir el intercambio de
información lo más libremente posible, hoy es ampliamente utilizada para propósitos comerciales.
Internet posee los mayores problemas de seguridad frente a la protección de los activos de
información en las organizaciones. Hackers y constructores de virus tratan de atacar el internet y los
computadores a él conectados. Si alguien desea invadir la privacidad de otros e intentar crackear las
bases de datos de información sensible lo puede hacer a medida que dicha información viaja por los
canales de internet
Atacantes …
Hacker Un término utilizado en la jerga común para nombrar a un entusiasta de los computadores; una persona que se
siente a gusto aprendiendo lenguajes de computador y de sistemas de computador y que a menudo puede ser
considerado un experto en la materia. Entre los profesionales programadores, dependiendo como se utilice, el
término puede ser complementario o despreciativo, aunque cada vez es más despreciativo. El término hacker
cada vez cobra mas relevancia para referirse a los individuos quienes ganan acceso no autorizado a los sistemas
de computador con el propósito de robar o corromper datos. Los mismos hackers dicen que el término más
apropiado para dichos individuos es cracker.
Cracker El término surgió a mediados de los 80s por hackers que deseaban diferenciarse entre ellos mismos de
individuos cuyo solo propósito era penetrar a través de los sistemas de seguridad. Mientras que los crackers
tienen como único objetivo romper los sistemas de seguridad, los hackers están más interesados en ganar
conocimiento acerca de los sistemas de computador y posiblemente utilizando este conocimiento para hacer
travesuras. Aunque los hackers aún argumentan que existe una gran diferencia entre lo que ellos hacen y lo que
un cracker hace, la generalidad de la gente no hace distinción, asi que los dos términos -- hack y crack – a
menudo se intercambian.
Phreaker Phreaking es un término que describe la actividad de un grupo de personas quienes estudian, experimentan con,
o exploran los sistemas de telecomunicaciones como equipos y sistemas conectados a las redes públicas de
terlefonía. El término "phreak" es derivado de las palabras "phone“ y "freak." También se refiere al uso de varias
audio frecuencias para manipular un sistema telefónico. "Phreak", "phreaker", or "phone phreak" son nombres
utilizados para y por individuos quienes participan en phreaking. Adicionalmente, es a menudo asociado con
hacking de computadores. Esta combinación algunas veces es denominada la cultura H/P (H – Hacking y P -
Phreaking).
Script Kiddies Poseen las herramientas para efectuar ataques, pero no el conocimiento técnico para construir los ataques.
Incremento de los Riesgos de Seguridad
Al avanzar en mejoras que incrementen la productividad, aumentan los riesgos derivados de fallas
tecnológicas por el mayor impacto que tienen y la mayor probabilidad de que ocurran.

Alto

Móvil Mayor Riesgo

Impacto de las
Fallas Internet

Cliente/
Server

MF
Bajo 1970s 1980s 1990s 2000s
Baja Probabilidad de Fallas Alta
Amenazas a la seguridad de la red …
ATAQUES PASIVOS
Los ataques pasivos están orientados a recolectar información de la red. Algunos ejemplos son:

Análisis de la El intruso aplica un enfoque sistemático y metódico conocido como “footprinting” para crear un perfil completo de
red la infraestructura de seguridad de la red de una organización. Durante la fase inicial de reconocimiento, el intruso
utiliza una combinación de herramientas para construir un repositorio de información acerca de la red interna de
una compañía en particular. Seguidamente el intruso se enfoca en los sistemas dentro de las direcciones objetivo
que respondieron a las instrucciones ejecutadas en la red para identificar el sistema objetivo a atacar. Una vez un
sistema ha sido identificado, el intruso escanea los puertos del sistema para determinar que servicios y sistemas
operativos están corriendo en el sistema objetivo los cuales pueden revelar servicios vulnerables que pueden ser
explotados.
Eavesdropping El intruso recolecta información que fluye a través de la red con la intención de adquirir los contenidos de los
Escuchar mensajes para análisis personal o para terceras partes que podrian haberlo contratado para tal propósito. Esto es
secretamente particularmente importante si se considera que la información sensible que viaja por la red puede ser vista por el
por medio de resto de máquinas, incluyendo e-mails y contraseñas. Estas actividades le facilitan a un intruso ganar acceso no
dispositivos autorizado. Estas actividades pueden permitirle al intruso ganar acceso no autorizado, usar información de
electrónicos manera fraudulenta como cuentas de tarjetas de crédito y comprometer la confidencialidad de la información
sensitiva.
Análisis de El intruso determina la naturaleza del tráfico que fluye entre hosts definidos y a través de un análisis de la
tráfico longitud de la sesión, de la frecuencia y del mensaje, es capaz de adivinar el tipo de comunicación en curso. Esto
es típicamente utilizado cuando los mensajes son encriptados y el eavesdropping no arrojó resultados exitosos.
Los intrusos, utilizando este método de análisis de tráfico, a menudo han estado en capacidad de predecir para
agencias jurídicas, grandes acciones que se planean realizar.
Amenazas a la seguridad de la red …
ATAQUES ACTIVOS
Una vez se ha recolectado información suficiente de la red, el intruso lleva a cabo el ataque real contra un sistema objetivo
para ganar control completo sobre el sistema o el control suficiente para causar daño. Esto puede incluir obtención de
acceso no autorizado para modificar datos o programas, causar denegación de servicio, escalar privilegios o acceder a otros
sistemas y obtener información sensible para ganancia personal. Estos tipos de penetraciones o intrusiones son conocidos
como ataques activos. Ellos afectan la integridad, disponibilidad y los atributos de autenticación de la seguridad de la red.
Formas comunes de ataques activos incluyen:

Ataques de Un intruso carga un ataque utilizando varias herramientas para crackear contraseñas disponibles a bajo o ningún costo
fuerza bruta para atacar contraseñas encriptadas e intentar ganar acceso no autorizado a la red o sistema de una organización.

Enmascaramien Un ataque activo en el cual un intruso presenta una identidad distinta a la identidad original. En este ataque, el propósito
to es ganar acceso a datos o recursos de computador/red sensitivos a los cuales el acceso no le es permitido con su
identidad original. El enmascaramiento también ataca los atributos de autenticación permitiendo que se realice una
autenticación legítima y más tarde entrar a los flujos de información y enmascararse como uno de los usuarios
autenticados en la sesión. Las impersonalizaciones tanto a nivel de persona como de máquina caen en esta categoría; El
enmascaramiento por máquina que presenta una dirección IP falsa es conocido como IP spoofing. Esta forma de ataque a
menudo se utiliza como un medio para atacar firewalls.
Packet Replay Esta es una combinación de modos de ataques pasivo y activo. El intruso pasivamente captura un stream de
paquetes de datos en la medida en que se mueven a lo largo de una red desprotegida o vulnerable de datos.
Estos paquetes luego son insertados en la red como si fuera otro stream genuino. Esta forma de atacar es
particularmente efectiva cuando el receptor al final del canal de comunicación es automatizado y actua como un
receptor e interpreta los paquetes de información sin la intervención humana.
Amenazas a la seguridad de la red …

ATAQUES ACTIVOS
Modificación de La modificación involucra la captura de un mensaje para hacer cambios o eliminaciones (parciales o totales) no
mensaje autorizados, cambiando la secuencia o retrasando la transmisión del mensaje. Un ejemplo de su uso es un mensaje con
una instrucción a un banco para hacer un pago.
Acceso no Varios paquetes de software de internet contienen vulnerabilidades que dejan expuestos los sistemas a ataques.
autorizado a Adicionalmente, muchos de estos sistemas son complejos y difíciles de configurar, conllevando a incidentes de accesos
través de no autorizados. Ejemplos incluyen:
internet o • E-mails falsos (simple mail transfer protocol)
servicios Web • Contraseñas Telnet transmitidas en claro (via path entre cliente y servidor)
• Alteración de la conexión entre las direcciones IP y los nombres de los dominios para impersonalizar cualquier tipo de
servidor. En la medida que un DNS sea vulnerable y sea utilizado para mapear URLs a sitios, no existe integridad en la
Web.
• Ejecución de scripts del lado del cliente los cuales representan el peligro de correr código de una ubicación arbitraria en
la máquina del cliente.
Ataques de En estos tipos de ataques un intruso determina los rangos de números telefónicos de fuentes externas como
penetración Internet, los cuales serán atacados. El intruso también puede emplear técnicas de ingeniería social para obtener
Dial-in información de la recepcionista o empleados de una compañía.
(War Dialing)
Amenazas a la seguridad de la red …
ATAQUES ACTIVOS
E-mail bombing E-mail bombing se caracteriza por el envío repetidamente de un mensaje de e-mail idéntico a una dirección en particular.
and spamming E-mail spamming es una variante de e-mail bombing; se refiere al envío de emails a cientos o miles de usuarios (o a listas
que se expanden a muchos usuarios). E-mail spamming puede empeorarse si los receptores responden al e-mail a las
direcciones originales. E-mail bombing/spamming pueden ser combinados con e-mail spoofing, el cual altera la identidad
de la cuenta que está enviando el e-mail, haciendo más dificil identificar de quien proviene el correo.
E-mail Spoofing E-mail spoofing puede ocurrir en diferentes formas, pero todos tienen un resultado similar: un usuario recibe un e-mail que
aparenta ser originado de una fuente cuando en realidad fue enviado desde otra fuente.
Ejemplos de e-mail spoofing que pudieran afectar la seguridad de un site incluyen:
• Un e-mail a nombre del administrador del sistema solicitando a los usuarios cambiar sus contraseñas a un string
específico y amenazándolos de susptender su cuente si no lo hacen.
http://www.webopedia.com/TERM
http://encyclopedia.thefreedictionary.com
www.thefreedictionary.com