Anatomía de un ataque informático.

Existen dos tipos de ataques informáticos: ataques a sistemas y ataques de red. Los ataques a sistemas presentan la siguiente estructura:

  1. Fase 1: Búsqueda de información acerca de la víctima. Esta fase es la más sencilla de realizar, y también la más crucial. Se realiza consultando toda la información referente al nombre de dominio de nuestra víctima en alguna de las bases de datos existentes en Internet (Whois, etc.) o en la página nic del país al que pertenezca nuestra víctima (una página nic es una página donde cada país registra los dominios registrados en él); en el caso de España, ésta página sería http://www.nic.es. En Linux se emplea el comando whois seguido del nombre de dominio. Ejemplo: whois dominiointeresante.es.

  2. Fase 2: Búsqueda de un vector de ataque. Esta fase es la más larga y más tediosa. Consiste en obtener más información acerca de nuestra víctima partiendo de la información obtenida en la 1ª fase. En esta fase se utilizan diversas técnicas: transferencia de DNS no autorizada, trazado de rutas, barridos ping, consultas ICMP, escaneo de puertos, búsqueda de vulnerabilidades o bugs y uso de exploits.

  3. Fase 3: Planificación y realización del ataque. Una vez que hayamos comprometido satisfactoriamente el ordenador víctima, sólo nos queda planear y realizar el ataque. Para ello nos viene bien realizar una shell, utilizar técnicas de enumeración, desactivar el antivirus del ordenador víctima y realizar la descarga de archivos en el ordenador víctima. valga la redundancia.


En cuanto a los ataques de red existen muchísimos, pero los que más pueden afectar a los usuarios son: robo de contraseñas, phising, Man In The Middle o MITM, envenenamiento de cookies, cross site scripting o XSS, side jacking o secuestro de sesión, IP hickjacking o secuestro de IP, DHCP Spoofing y ARP poisoning o envenenamiento ARP.

  • Robo de contraseñas: El robo de contraseñas es uno de los ataques de red (o mejor dicho, ciberdelito) más comunes: casi a diario leemos noticias acerca de los daños causados por estas acciones. Consiste en robar las contraseñas de la víctima mediante el uso de distintas técnicas (ingeniería social, phising, redireccionamiento a sitios web falsos o fraudulentos, etc.), aunque todas ellas tiene como común denominador engañar al usuario.

  • Phising: Consiste en el robo de identidad del usuario. Este ataque se puede llevar a cabo mediante correos electrónicos falsos (correos electrónicos que supuestamente procedan del banco del usuario, correos que informan de un supuesto premio ganado por el usuario, etc.) o páginas web fraudulentas, con el fin de obtner los datos bancarios del usuario.

  • "Hombre en el medio" (Man In The Middle o MITM): En este tipo de ataque el atacante adquiere la capacidad de leer, insertar y modificar a voluntad la información enviada entre dos ordenadores. Antes de poder realizar este ataque es necesario realizar un ataque de ARP poisoning o envenenamiento ARP. Por ejemplo: supongamos que en una red hay dos ordenadores A y B y que un ordenador atacante, C, quiere averiguar la información que se envían entre ellos. En una comunicación normal A enviaría información a B y B respondería a A. Para meterse en medio de esa comunicación C tendría que engañar al router para hacerse pasar por B, para que de esa manera la información que A le envía a B en realidad le llegue a él. Luego, para evitar ser descubierto, C tendría que enviar la información a B previa copia de la misma. Pero para poder obtener la información completa, C debe de repetir el mismo proceso a la inversa; es decir, cuando B responda a A C tiene que engañar al router para hacerle ver que es A y luego, una vez obtenida dicha respuesta, debe de enviar dicha respuesta a A previa copia de la misma.


[caption id="attachment_62" align="aligncenter" width="300"]Esquema de un ataque MITM. Esquema de un ataque MITM.[/caption]

  • Envenenamiento de cookies: Este tipo de ataque consiste en transformar una cookie normal en una tracking cookie o cookie de seguimiento.

  • Cross Site Scripting o XSS: Consiste en ejecutar un código javascript malicioso en una página web. El XSS se puede ejecutar de dos formas: ejecutando el código javascript directamente en el navegador o embebiéndolo en el código fuente de la página web.

  • Side jacking o secuestro de sesión: Este ataque se puede hacer de dos formas:

    • Secuestrando una cookie.

    • Atacando el protocolo HTTPS.




Este tipo de ataque es muy difícil de detectar y la víctima no sabe que es la víctima de un ataque. El side jacking o secuestro de sesión se realiza de formas diferentes en una red wifi que en una red cableada. En una red cableada se usan routers y switchs; lo que significa que si dos ordenadores se comunican mediante cualquiera de esos dos dispositivos la información que se envían solamente la pueden escuchar cualquiera de esos dos ordenadores. En este caso el ordenador atacante, para oir la información que es enviada entre el ordenador A y el ordenador B tiene que hacer tres cosas:





  1. Obtener la MAC o la IP de la víctima y la IP del gateaway (es decir, la IP del router).

  2. Realizar un ataque de ARP poisoning o envenenamiento de la tabla ARP.

  3. Realizar un MITM.




  • IP hickjacking o secuestro de IP: Este ataque consiste en el secuestro de una conexión TCP/IP, por ejemplo durante una sesión telnet, permitiendo a un atacante inyectar comandos o realizar un DoS (Deny of Service, denegación de servicio) durante dicha sesión.

  • DHCP spoofing: Básicamente, un servidor DHCP lo que hace es responder cada petición por una IP que haya en la red. Lo que hace el atacante es tratar de ganarle al servidor cuando se emite la respuesta, para que el cliente tome los datos desde él, le de una IP de la red, pero se coloca como puerta de enlace, haciendo que todo su tráfico se redireccione a él.

  • ARP poisoning o envenenamiento de la tabla ARP: Es una técnica usada para infiltrarse en una red Ethernet conmutada (basada en switch y no en hubs), que puede permitir al atacante husmear paquetes de datos en la LAN (red de área local), modificar el tráfico, o incluso detener el tráfico (conocido como DoS: "Denegación de Servicio"). El principio del ARP spoofing es enviar mensaje ARP falsos (falsificados, o spoofed) a la Ethernet. Normalmente la finalidad es asociar la dirección MAC del atacante con la dirección IP de otro nodo (el nodo atacado), como por ejemplo la puerta de enlace predeterminada (gateaway). Cualquier tráfico dirigido a la dirección IP de ese nodo será erróneamente enviado al atacante, en vez de a su destino real. El atacante puede entonces elegir entre reenviar el tráfico a la puerta de enlace predeterminada real (ataque pasivo o escucha), o modificar los datos antes de reenviarlos (ataque activo). El atacante puede incluso lanzar un ataque de tipo DoS (Denegación de Servicio) contra una víctima, asociando una dirección MAC inexistente con la dirección IP de la puerta de enlace predeterminada de la víctima.

Comentarios

  1. ¿Qué es una botnet? | El rincón de la seguridad informática.30 de diciembre de 2013, 7:51

    […] ← Anatomía de un ataque informático. […]

    ResponderEliminar
  2. Cómo averiguar si nuestro smartphone está intervenido. | El rincón de la seguridad informática.2 de diciembre de 2014, 11:42

    […] hablamos exclusivamente de llamadas telefónicas, mediante un ataque de MiTM en GSM. En este caso, el ataque se realizaría mediante estaciones base falsas para aprovechar […]

    ResponderEliminar

Publicar un comentario

Entradas populares de este blog

¿Mujeres hermosas de Europa del Este que se enamoran de tí rapidísimamente por Internet? Eso no es amor... son scammers.

¿Has recibido un correo electrónico de una chica guapísima de Europa del Este que dice que está interesadisima en conocerte? ¿La chica en cuestión se ha enamorado de ti rapidísimamente? ¿O quizás has recibido uno en el que aparece el link de una página de contactos donde puedes conocer a chicas hermosas del Este de Europa? Si es así y piensas que has triunfado, que hoy es tu día de suerte... estás muy equivocado. Este tipo de correos electrónicos, llamados scam , constituyen uno de los tipos de fraude online más extendidos en la actualidad; y a las personas que están detrás de ellos se les da el nombre de scammers . Los scammers se hacen pasar por chicas rusas, por lo general muy, pero muy atractivas, envian correos electrónicos indiscriminadamente diciendo "me gusta tu perfil, quiero algo serio contigo, me gustaría conocerte, ando buscando un amor real y puro, blablabla", estos correos nos llegan desde las redes sociales que podemos estar inscritos (facebook, hi5, tagged, m
Leer más

¿Qué es un ataque Man in the Browser (MiTB)?

Un ataque Man in The Browser o MiTB es un tipo de ataque informático derivado del ataque Man In The Midle o MITM y que está orientado al robo de datos bancarios.  Un ataque Man in The Browser se produce cuando un código malicioso infecta un navegador web. El código modifica las acciones que realiza el usuario del ordenador y, en algunos casos, es capaz de iniciar acciones independientemente de éste. Cuando un usuario entra en su cuenta bancaria, basta con que utilice un navegador infectado para que se pongan en marcha acciones ilícitas que den lugar a un robo online. http://www.youtube.com/watch?v=cm0wqPUv6mQ ¿Cuál es el riesgo inherente a los ataques MiTB? Los ataques Man-in-the-Browser son especialmente difíciles de detectar y, en muchos casos, logran provocar daños de forma totalmente insospechada. Éstas son algunas de las formas en que se producen los ataques MITB y una explicación de por qué plantean un riesgo tan alto. Los ordenadores se infectan fácilmente: La forma más habi
Leer más