Ciberseguridad: Estrategias de Ataque y Contramedidas Esenciales

Clasificado en Informática

Escrito el 26 de Mayo de 2025 en español con un tamaño de 4,89 KB

Seguridad y Monitorización en Ciberataques

Un ciberataque se desarrolla a través de diversas fases, cada una con objetivos específicos para el atacante:

Fase de Investigación
Recopilación de información sobre el objetivo:
- Información de la empresa objetivo.
- Información del dominio objetivo.
- Información de los servidores.
- Identificación de la plataforma.
- Identificación de servicios.
Fase de Penetración
Acceso inicial al sistema:
- Explotación de vulnerabilidades.
- Exploración de la debilidad de contraseñas.
- Búsqueda de servicios mal configurados.
Fase de Persistencia
Una vez que el atacante ha ingresado en el sistema, realiza actividades para no ser detectado y deja puertas traseras. Busca archivos de auditoría o logs del sistema para borrarlos.
Fase de Expansión
El objetivo final es utilizar varios saltos intermedios para no ser detectado. Esto genera que nuestro sistema sea víctima y atacante. Las contramedidas son el filtrado de paquetes, los IDS (Sistemas de Detección de Intrusiones) y el control periódico de los logs.
Logro del Objetivo del Atacante
El atacante busca:
- Desaparecer sin dejar rastro.
- Avisar al administrador que se ha ingresado.
- Comentar los fallos de seguridad.
- Hacer públicos los fallos.

El escalado de un ataque implica la profundización y ampliación del control sobre la red o sistema comprometido:

Reconocimiento
Lo primero que realizará el atacante es un descubrimiento no autorizado de la red, sistemas, servicios y vulnerabilidades. Esto se realiza desde el único sistema comprometido. Disponen de herramientas para ello, como la detección de hosts alcanzables.
Interceptación o Eavesdropping
Es un proceso en el que un agente capta información que no le iba dirigida. Es muy difícil de detectar. Un medio de interceptación es el sniffing, y hay que tener en cuenta la imposibilidad de establecer límites en la red. Algunas medidas serían no permitir segmentos de red de fácil acceso y utilizar cifrado para comunicaciones o almacenamiento de información.
Ataque por Acceso
Consiste en que un atacante obtiene privilegios necesarios para acceder a dispositivos y recursos de la red. Los métodos incluyen:
- Explotación de contraseñas triviales.
- Servicios mal configurados.
- Fallas de aplicación.
- Ingeniería social.
Ejemplos comunes son:
- Man-in-the-middle.
- Relaciones de confianza.
- Manipulación de datos.
- IP spoofing.
- Auto router.
- Puertas traseras.
Ataques en Routers y Conmutadores
Estos ataques buscan comprometer la infraestructura de red:
- Sobrecarga de la tabla CAM.
- Acceso a diferentes VLAN.
- Utilización de STP (Spanning Tree Protocol).
- Falsificaciones MAC.
- Saturación de DHCP.

Los ataques DoS buscan inhabilitar un servicio o recurso, impidiendo su acceso a usuarios legítimos:

Tipos de Ataque DoS
Pueden ser causados por:
- Explotaciones de errores de aplicaciones.
- Mensajes de control.
- El más común: flooding.
- Ping de la muerte.
- SYN flood.
- Land attack.
- Teardrop.
Defensa contra Ataques DoS
Las contramedidas incluyen:
- Para explotaciones de errores de aplicaciones: Actualizar sistemas.
- Para mensajes de control: Filtros de paquetes apropiados.
- Para flooding: IDS (Sistemas de Detección de Intrusiones).

Los ataques DDoS son una forma más potente de DoS, utilizando múltiples fuentes para saturar el objetivo:

Tipos de Ataque DDoS
- SMURF: Transmite una trama ICMP correspondiente a un ping, que lleva como dirección de origen la IP de la víctima y como destino el broadcast de la red atacada.
- TFN (Tribe Flood Network): Un usuario malicioso obtiene acceso privilegiado a múltiples hosts e instala un SYN flood.
Defensa contra Ataques DDoS
Las defensas son complejas y desafiantes. Deben restringirse las conexiones moderadamente. Otra contramedida es configurar el router de borde para que ajuste la velocidad de determinados paquetes (ICMP y TCP SYN).

Etiquetas: