Tipos de virus

Fundamentos

•

Seguridad

–

Ciberseguridad

Práctica para proteger sistemas, redes y programas ante

los ataques digitales y físicos.

• La seguridad: es la ausencia de un riesgo. Esto hace

referencia al riesgo de accesos no autorizados, de
manipulación de información, manipulación de las
configuraciones.

• La

protección: son los diferentes mecanismos utilizados

por el SO para cuidar la información, los procesos, los
usuarios, puertos de interconexión de red, entre otros.

Ámbito de usuario

Amenazas y vulnerabilidades comunes al usuario
• El dominio del usuario incluye a los usuarios que tienen acceso al sistema de información de la

organización.

• Los usuarios pueden ser empleados, clientes, contratistas de empresas y otras personas que

necesitan tener acceso a los datos.

• Los usuarios suelen ser el eslabón más débil de los sistemas de seguridad informática y

representan una amenaza significativa a la confidencialidad, integridad y disponibilidad de los
datos de la organización.

Ámbito de usuario

Administración de las amenazas al usuario
• Realizar una capacitación sobre el conocimiento de la seguridad y la formación del usuario.
• Activar y automatizar el filtrado de contenido y el análisis de antivirus.
• Desactivar las unidades de CD y los puertos USB internos.

• Minimizar los permisos, restringir el acceso, realizar el seguimiento y supervisión de los

usuarios, y activar la detección de intrusiones.

Ámbito de dispositivo

Amenazas comunes a los dispositivos
• Estaciones de trabajo desatendidas, descargas del usuario, software sin parches.
• Malware, uso de medios no autorizados y violaciones de la política de uso aceptable.

Ámbito de la red de área local

Amenazas comunes a la LAN
• Acceso no autorizado a la LAN, acceso no autorizado a los sistemas, aplicaciones, redes

inalámbricas y datos.

• Vulnerabilidades del software del sistema operativo de red, configuraciones incorrectas y

fallas para realizar actualizaciones.

• Exploración no autorizada de redes y análisis de puertos.

Ámbito de nube privada (WAN)

Amenazas comunes a la nube privada:
• Exploración no autorizada de redes, análisis de puertos y acceso a los recursos.
• Vulnerabilidad y configuración incorrecta del software del sistema operativo de los

dispositivos de red, firewall o router

• Usuarios remotos que tienen acceso a la infraestructura de la organización y que

descargan datos confidenciales.

Ámbito de nube pública

Amenazas comunes a la nube pública:
• Violaciones de datos, pérdida o robo de propiedad intelectual y credenciales comprometidas.
• Los repositorios de identidad federados son un objetivo de gran valor.
• Apropiación de la cuenta, ataques a la ingeniería social y falta de comprensión de parte de la

organización.

Ámbito de las instalaciones físicas

Amenazas comunes a las instalaciones físicas:
• Amenazas naturales, incluidos problemas de clima, riesgos geológicos y cortes de

energía

• Acceso no autorizado a las instalaciones, vestíbulos abiertos, robo, centro de datos

desbloqueados, falta de vigilancia

• Ingeniería social, violación de las defensas perimetrales electrónicas

Ámbito de la aplicación

Amenazas comunes a las aplicaciones
• Acceso no autorizado a los centros de datos, a salas informáticas y a los armarios de cableado
• Tiempo de inactividad de servidores para el mantenimiento, sistemas de TI inactivos durante períodos prolongados
• Vulnerabilidad del software del sistema operativo de red
• Acceso no autorizado a los sistemas
• Pérdida de datos

Fortalecimiento de host

Seguridad del sistema operativo: el sistema operativo desempeña un rol importante en la
operación de un sistema informático y es el objetivo de muchos ataques.

• Un administrador fortalece un sistema operativo al modificar la configuración

predeterminada para que sea más segura a amenazas externas.

• Este proceso incluye la eliminación de los programas y servicios innecesarios.

• Otro requisito fundamental para fortalecer los sistemas operativos es la aplicación de

parches y actualizaciones de seguridad.

Antimalware: el malware incluye virus, gusanos, Trojan Horse, registradores de teclado,
spyware y adware.

• Todos invaden la privacidad, roban información, dañan el sistema o eliminan y dañan los

datos.

• Es importante que proteja las computadoras y los dispositivos móviles mediante un

software antimalware reconocido.

Fortalecimiento de host

Administración de parches: los parches son actualizaciones de códigos que proporcionan los
fabricantes para evitar que un virus o gusano descubierto recientemente logre atacar con
éxito. Los fabricantes combinan parches y actualizaciones en una aplicación de actualización
integral denominada “paquete de servicios”.
Firewalls basados en el host: el firewall de un software es un programa que se ejecuta en
una computadora para permitir o denegar el tráfico entre la computadora y otras
computadoras conectadas. El firewall de software aplica un conjunto de reglas a las
transmisiones de datos mediante la inspección y el filtrado de paquetes de datos.
Sistemas de detección de intrusiones de host: un sistema de detección de intrusiones de
host (HIDS) es un software que se ejecuta en una computadora host que monitorea esa
actividad sospechosa.
Comunicaciones seguras (VPN): al conectarse a la red local y al compartir archivos, la
comunicación entre computadoras permanece dentro de esa red. Para comunicarse y
compartir recursos en una red que no es segura, los usuarios utilizan una Red privada virtual
(VPN). Una red privada virtual (VPN) es una red privada que conecta sitios o usuarios
remotos a través de una red pública, como Internet.

Tipos de malware

Los delincuentes cibernéticos apuntan a los terminales del usuario mediante la
instalación de malware.

Virus: un virus es un código malicioso ejecutable asociado a otro archivo ejecutable,
como un programa legítimo. La mayoría de los virus requieren la inicialización del
usuario final y pueden activarse en un momento o fecha específica.

Gusanos: los gusanos son códigos maliciosos que se replican al explotar de manera
independiente las vulnerabilidades en las redes. Los gusanos, por lo general, ralentizan
las redes. Mientras que un virus requiere la ejecución de un programa del host, los
gusanos pueden ejecutarse por sí mismos. A excepción de la infección inicial, los
gusanos ya no requieren la participación del usuario.

Troyano: un troyano es un malware que ejecuta operaciones maliciosas bajo la
apariencia de una operación deseada. Este código malicioso ataca los privilegios de
usuario que lo ejecutan. Un Trojan Horse se diferencia de un virus debido a que el
troyano está relacionado con los archivos no ejecutables, como archivos de imagen, de
audio o juegos.

Protección de los datos de host

Control de acceso de archivos: esto consiste en permisos que limitan el acceso a la
carpeta o a los archivos para una persona o para un grupo de usuarios.
Encriptación de archivos: la encriptación de archivos es una herramienta que se
utiliza para proteger los datos almacenados en forma de archivos. La encriptación
transforma los datos con un algoritmo complicado para hacerlos ilegibles. Los
programas de software pueden cifrar archivos, carpetas e incluso unidades enteras.
Copias de respaldo de datos y del sistema: una copia de respaldo de datos
almacena una copia de la información de una computadora a medios de copia de
respaldo extraíbles. La realización de copias de seguridad de datos es uno de los
métodos más eficaces para evitar la pérdida de estos. Si el hardware de la
computadora falla, el usuario puede restaurar los datos de la copia de respaldo
después de que el sistema funcione nuevamente.

Tipos de malware

• Bomba lógica: una bomba lógica es un programa malicioso que utiliza un

activador para reactivar el código malicioso. Por ejemplo, los activadores pueden
ser fechas,horas, otros programas en ejecución o la eliminación de una cuenta
de usuario. La bomba lógica permanece inactiva hasta que se produce el evento
activador. Una vez activada, una bomba lógica implementa un código malicioso
que provoca daños en una computadora.

• Ransomware: el ransomware mantiene cautivo a un sistema informático o los

datos que contiene hasta que el objetivo haga un pago. El ransomware trabaja
generalmente encriptando los datos de la computadora con una clave
desconocida para el usuario.

• Puertas traseras y rootkits: una puerta trasera o un rootkit se refiere al

programa o al código que genera un delincuente que ha comprometido un
sistema. La puerta trasera omite la autenticación normal que se utiliza para
tener acceso a un sistema. Un rootkit modifica el sistema operativo para crear
una puerta trasera. Los atacantes luego utilizan la puerta trasera para acceder a
la computadora de forma remota.

Ataques a correos electrónicos y navegadores

El correo electrónico es un servicio universal utilizado por miles de
millones de personas en todo el mundo. Como uno de los servicios
más populares, el correo electrónico se ha convertido en una
vulnerabilidad importante para usuarios y organizaciones.
Spam: el correo no deseado, también conocido como “correo
basura”, es el correo electrónico no solicitado. En la mayoría de los
casos, el correo no deseado es un método publicitario. Sin embargo,
el correo no deseado se puede utilizar para enviar enlaces nocivos,
malware o contenido engañoso.
Spyware: el spyware es un software que permite a un delincuente
obtener información sobre las actividades informáticas de un
usuario. El spyware incluye a menudo rastreadores de actividades,
recopilación de pulsaciones de teclas y captura de datos. En el
intento por superar las medidas de seguridad, el spyware a menudo
modifica las configuraciones de seguridad.

Ataques a correos electrónicos y navegadores

Adware: el adware muestra generalmente las molestas
ventanas emergentes de publicidad para generar
ingresos para sus autores. El malware puede analizar los
intereses del usuario al realizar el seguimiento de los
sitios web visitados. Luego puede enviar la publicidad
emergente en relación con esos sitios.
Scareware: el scareware convence al usuario a realizar
acciones específicas según el temor. El scareware
falsifica ventanas emergentes que se asemejan a las
ventanas de diálogo del sistema operativo.

Ataques a correos electrónicos y navegadores

Suplantación de identidad: la suplantación de identidad es una forma de
fraude. Los delincuentes cibernéticos utilizan el correo electrónico, la
mensajería instantánea u otros medios sociales para intentar recopilar
información como credenciales de inicio de sesión o información de la
cuenta disfrazándose como una entidad o persona de confianza. La
suplantación de identidad ocurre cuando una parte maliciosa envía un
correo electrónico fraudulento disfrazado como fuente legítima y confiable.
El objetivo de este mensaje es engañar al destinatario para que instale
malware en su dispositivo o comparta información personal o financiera.

Suplantación de identidad focalizada: la suplantación de identidad
focalizada es un ataque de suplantación de identidad altamente dirigido. Si
bien la suplantación de identidad y la suplantación de identidad focalizada
usan correos electrónicos para llegar a las víctimas, mediante la
suplantación de identidad focalizada se envía correos electrónicos
personalizados a una persona específica.

Ataques a correos electrónicos y navegadores

Vishing: el Vishing es una práctica de suplantación de
identidad mediante el uso de la tecnología de
comunicación de voz. Los delincuentes pueden
realizar llamadas de suplantación de fuentes
legítimas mediante la tecnología de voz sobre IP
(VoIP). Las víctimas también pueden recibir un
mensaje grabado que parezca legítimo.
Pharming: el Pharming es la imitación de un sitio
web legítimo en un esfuerzo por engañar a los
usuarios al ingresar sus credenciales.
Whaling: el Whaling es un ataque de suplantación de
identidad que apunta a objetivos de alto nivel dentro
de una organización, como ejecutivos sénior.

Ataques a correos electrónicos y navegadores

Complementos: los complementos de memoria flash y shockwave de Adobe permiten el desarrollo
de animaciones interesantes de gráfico y caricaturas que aumentan considerablemente la apariencia
de una página web. Los complementos muestran el contenido desarrollado mediante el software
adecuado.

Envenenamiento SEO: los motores de búsqueda, como Google, funcionan clasificando páginas y
presentando resultados relevantes conforme a las consultas de búsqueda de los usuarios. Según la
importancia del contenido del sitio web, puede aparecer más arriba o más abajo en la lista de
resultados de la búsqueda. La SEO (optimización de motores de búsqueda) es un conjunto de técnicas
utilizadas para mejorar la clasificación de un sitio web por un motor de búsqueda. Aunque muchas
empresas legítimas se especializan en la optimización de sitios web para mejorar su posición, el
envenenamiento SEO utiliza la SEO para hacer que un sitio web malicioso aparezca más arriba en los
resultados de la búsqueda.

Secuestrador de navegadores: un secuestrador de navegadores es el malware que altera la
configuración del navegador de una computadora para redirigir al usuario a sitios web que pagan los
clientes de los delincuentes cibernéticos. Los secuestradores de navegadores instalan sin permiso del
usuario y generalmente son parte de una descarga desapercibida.

El arte del uso de trucos

Ingeniería social: la ingeniería social es un medio completamente no técnico por el
que el delincuente reúne información sobre un objetivo. La ingeniería social es un
ataque que intenta manipular a las personas para que realicen acciones o divulguen
información confidencial.

Los ingenieros sociales con frecuencia dependen de la disposición de las personas
para ayudarles, pero también se aprovechan de sus vulnerabilidades. Estos son
algunos tipos de ataques de ingeniería social:

Pretexto: esto es cuando un atacante llama a una persona y miente en el intento de
obtener acceso a datos privilegiados. Un ejemplo implica a un atacante que
pretende necesitar datos personales o financieros para confirmar la identidad del
destinatario.

Algo por algo (quid pro quo): esto es cuando un atacante solicita información
personal de una parte a cambio de algo, por ejemplo, un obsequio.

Tipos de trucos

Espiar por encima del hombro y urgar en la basura: se refiere a recoger PIN, códigos de
acceso o números de tarjetas de crédito. Un atacante puede estar muy cerca de su
víctima o puede utilizar los prismáticos o las cámaras de circuito cerrado para espiar.

Simulación de identidad y engaños: la suplantación de identidad es la acción de pretender
ser alguien más. Por ejemplo, una reciente estafa telefónica afectó a los contribuyentes. Un
delincuente, que se presentó como empleado del IRS, le dijo a las víctimas que debían
dinero al IRS.

Piggybacking y Tailgating: el Piggybacking es una práctica mediante la cual un
delincuente sigue a una persona autorizada a todas partes para obtener ingreso a una
ubicación segura o a un área restringida. El «Tailgating» es otro término que describe la
misma práctica.

Trucos en línea y basados en correo electrónico: si en el lugar de trabajo reenvía correos
electrónicos engañosos y otras bromas, películas graciosas y correos electrónicos que no
están relacionados con el trabajo, puede violar la política de uso aceptable de la empresa
y esto puede generar medidas disciplinarias.

Tipos de ciberataques

Ataques de denegación de servicio (DoS): son un tipo de ataque a la red. Un ataque de
DoS da como resultado cierto tipo de interrupción de los servicios de red a los usuarios, los
dispositivos o las aplicaciones. Los ataques de DoS son un riesgo importante porque
pueden interrumpir fácilmente la comunicación y causar una pérdida significativa de
tiempo y dinero. Estos ataques son relativamente simples de llevar a cabo, incluso por un
atacante inexperto.
Análisis: la técnica de análisis es similar a escuchar a escondidas a alguien. Ocurre cuando
los atacantes examinan todo el tráfico de red a medida que pasa por la NIC,
independientemente de si el tráfico está dirigidos a ellos o no. Los delincuentes logran
realizar análisis de la red con una aplicación de software, dispositivo de hardware o una
combinación de ambos.
Falsificación de identidad: es un ataque que aprovecha una relación de confianza entre dos
sistemas. Si dos sistemas aceptan la autenticación lograda por cada uno, es posible que una
persona registrada en un sistema no pase nuevamente por un proceso de autenticación
para acceder al otro sistema.

Man-in-the-middle: un delincuente realiza un ataque man-in-the-middle (MitM)
al interceptar las comunicaciones entre las computadoras para robar la
información que transita por la red. El delincuente también puede elegir
manipular los mensajes y retransmitir información falsa entre los hosts ya que
estos desconocen que se produjo una modificación en los mensajes. El ataque
MitM permite que el delincuente tome el control de un dispositivo sin el
conocimiento del usuario.
Ataques de día cero: a veces denominado amenaza de día cero, es un ataque
informático que intenta explotar las vulnerabilidades del software que son
desconocidas o no están reveladas por el proveedor de software. El término hora
cero describe el momento en que alguien descubre el ataque.
Registro del teclado: el registro del teclado es un programa de software que
registra las teclas de loa usuarios del sistema. Los delincuentes pueden
implementar registros de teclas mediante software instalado en un sistema
informático o a través de hardware conectado físicamente a una computadora.
El delincuente configura el software de registro de claves para enviar por correo
electrónico el archivo de registro. Las teclas capturadas en el archivo de registro
pueden revelar nombres de usuario, contraseñas, sitios web visitados y otra
información confidencial.

Tipos de ciberataques

Ataques a dispositivos móviles e inalámbricos

Grayware y SMiShing
• La técnica de Grayware incluye aplicaciones que se comportan de manera molesta o no deseada.

La técnica de Grayware puede no tener un malware reconocible, pero aún puede representar un
riesgo para el usuario. La técnica de Grayware se está convirtiendo en una área problemática en
la seguridad móvil con la popularidad de los smartphones.

• El término SMiShing es la abreviatura de suplantación de identidad de SMS. Utiliza el Servicio de

mensajes cortos (SMS) para enviar mensajes de texto falsos. Los delincuentes engañan al usuario
al visitar un sitio web o llamar a un número de teléfono. Las víctimas desprevenidas pueden
proporcionar información confidencial como información de la tarjeta de crédito. Visitar una
página web puede provocar que el usuario descargue sin saberlo el malware que infecta al
dispositivo.

Puntos de acceso dudoso: un punto de acceso dudoso es un punto de acceso
inalámbrico instalado en una red segura sin autorización explícita. Un punto de
acceso dudoso se puede configurar de dos maneras.

Interferencia de RF: las señales inalámbricas son susceptibles a la interferencia
electromagnética (EMI), a la interferencia de radiofrecuencia (RFI) e incluso
pueden ser vulnerables a los rayos o ruidos de luces fluorescentes. Las señales
inalámbricas también son vulnerables a la interferencia deliberada. La
interferencia de radiofrecuencia (RF) interrumpe la transmisión de una estación de
radio o satelital para que la señal no alcance la estación receptora.

Bluejacking y Bluesnarfing: Bluejacking es el término que se utiliza para enviar

mensajes no autorizados a otro dispositivo Bluetooth. El «Bluesnarfing» ocurre
cuando el atacante copia la información de la víctima de su dispositivo. Esta
información puede incluir correos electrónicos y listas de contactos.

Ataques a dispositivos móviles e inalámbricos

Ataques a los protocolos WEP y WPA

Privacidad equivalente por cable (WEP): es un protocolo de seguridad que intentó proporcionar una red de área
local inalámbrica (WLAN) con el mismo nivel de seguridad que una red LAN cableada. Dado que las medidas de
seguridad física ayudan a proteger una red LAN cableada, el protocolo WEP busca proporcionar protección
similar para los datos transmitidos mediante la WLAN con encriptación.

• El protocolo WEP utiliza una clave para la encriptación.

• No existen disposiciones para la administración de claves con WEP, por lo que la cantidad de personas que

comparte la clave crecerá continuamente.

El protocolo de acceso protegido Wi-Fi (WPA) y luego el WPA2 salieron como protocolos mejorados para
reemplazar el protocolo WEP. El protocolo WPA2 no tienen los mismos problemas de encriptación porque un
atacante no puede recuperar la clave al observar el tráfico.

• El protocolo WPA2 es susceptible a ataques porque los delincuentes cibernéticos pueden analizar los paquetes

que se envían entre el punto de acceso y un usuario legítimo.

• Los delincuentes cibernéticos utilizan un analizador de protocolos de paquetes y luego ejecutan los ataques sin

conexión en la contraseña.

Ataques a dispositivos móviles e inalámbricos

Confidencialidad - TRÍADA DE CID
El principio de confidencialidad

• La confidencialidad previene la divulgación de información a las personas los

recursos y los procesos no autorizados. Otro término para la confidencialidad es
el de privacidad.

• Las organizaciones necesitan capacitar a los empleados sobre las mejores

prácticas en la protección de la información confidencial para protegerse a sí
mismos y a la organización de los ataques.

• Los métodos utilizados para garantizar la confidencialidad incluyen el cifrado de

datos, la autenticación y el control de acceso.

Protección de la privacidad de los datos

• Las organizaciones recolectan una gran cantidad de datos y la mayor parte de

estos datos no es confidencial porque está públicamente disponible, como
nombres y números de teléfono.

• Otros datos recopilados, sin embargo, son confidenciales. La información

confidencial hace referencia a los datos protegidos contra el acceso no
autorizado para proteger a una persona u organización.

Control de acceso

El control de acceso define varios esquemas de protección que evita el
acceso no autorizado a una computadora, red, base de datos o a otros
recursos de datos. El concepto de AAA involucra tres servicios de seguridad:
Autenticación, Autorización y Auditoría. La autenticación verifica la
identidad de un usuario para evitar el acceso no autorizado. Los usuarios
prueban su identidad con un nombre de usuario o una Id.

Los servicios autorización determinan a qué recursos pueden acceder los
usuarios, junto con las operaciones que los usuarios pueden realizar. La
autorización también puede controlar cuándo un usuario tiene acceso a un
recurso específico.

La contabilización rastrea las actividades de los usuarios, incluidos los sitios
a los que tienen acceso, la cantidad de tiempo que tienen acceso a los
recursos y los cambios realizados.

Confidencialidad - TRÍADA DE CID

La confidencialidad y la privacidad parecen intercambiables, pero
desde un punto de vista legal, tienen distintos significados.

• La mayoría de los datos de privacidad son confidenciales, pero

no todos los datos confidenciales son privados. El acceso a la
información confidencial ocurre después de confirmar la
autorización apropiada. Las instituciones financieras, los
hospitales, los profesionales médicos, los estudios jurídicos y las
empresas administran la información confidencial.

• La información confidencial tiene estado privado. Mantener la

confidencialidad es más que un deber ético.

• La privacidad es el uso adecuado de los datos. Cuando las

organizaciones recopilan información proporcionada por los
clientes o empleados, solo pueden utilizar esos datos para su
objetivo previsto.

Confidencialidad - TRÍADA DE CID

Integridad - TRÍADA DE CID

Principio de integridad de los datos

• La integridad es la precisión, uniformidad y confiabilidad de los datos durante su ciclo de vida.

• Otro término para la integridad es el de calidad.

• Los métodos utilizados para garantizar la integridad de los datos incluyen la función de hash, las comprobaciones de

validación de datos, las comprobaciones de consistencia de los datos y los controles de acceso.

La necesidad de contar con la integridad de datos

• La necesidad de contar con la integridad de datos varían según cómo una organización utiliza los datos. Por ejemplo,

Facebook no verifica los datos que un usuario publica en un perfil.

• Un banco u organización financiera asigna una mayor importancia a la integridad de los datos que Facebook. Las

transacciones y las cuentas de los clientes deben ser precisas.

• Proteger la integridad de los datos es un desafío constante para la mayoría de las organizaciones. La pérdida de la integridad

de los datos puede lograr que todos los recursos de datos sean dudosos o inutilizables.

Verificaciones de la integridad

• Una verificación de integridad es una manera de medir la uniformidad de una recopilación de datos (un archivo, una imagen,

un registro). La verificación de integridad realiza un proceso denominado función de hash para tomar una instantánea de los
datos en un instante de tiempo.

Disponibilidad - TRÍADA DE CID

La disponibilidad de los datos es el principio que se utiliza para describir la necesidad de mantener la
disponibilidad de los sistemas y servicios de información en todo momento. Los ataques cibernéticos
y las fallas en el sistema pueden impedir el acceso a los sistemas y servicios de información.
• Los métodos utilizados para garantizar la disponibilidad incluyen la redundancia del sistema, las

copias de seguridad del sistema, mayor recuperabilidad del sistema, mantenimiento del equipo,
sistemas operativos y software actualizados y planes para recuperarse rápidamente de desastres no
planificados.

• Los sistemas de alta disponibilidad suelen incluir tres principios de diseño: eliminar los puntos

sencillos de falla, proporcionar una conexión cruzada confiable y detectar fallas a medida que
ocurren.

Las organizaciones pueden garantizar la disponibilidad al implementar lo siguiente:

1. Realizar el mantenimiento del equipo
2. Realizar actualizaciones del SO y del sistema
3. Realizar pruebas de las copias de respaldo
4. Realizar planificaciones para evitar desastres
5. Implementar nuevas tecnologías
6. Supervisar la actividad inusual
7. Realizar pruebas para verificar la disponibilidad