10 ATAQUES INFORMTICOS

A la hora de estudiar los distintos tipos de ataques informticos, podramos diferenciar en

primer lugar entre los ataques activos, que producen cambios en la informacin y en la
situacin de los recursos del sistema, y los ataques pasivos, que se limitan a registrar el uso
de los recursos y/o a acceder a la informacin guardada o transmitida por el sistema.

Distintos tipos de ataques en

una red de ordenadores

1. IP Spoofing
Los ataques de suplantacin de
la identidad presentan varias
posibilidades, siendo una de las ms
conocidas la de nominada IP
Spoofing (enmascaramiento de la
direccin IP), mediante la cual un
atacante consigue modificar la
cabecera de los paquetes enviados a
un determinado sistema informtico
para simular que pro- ceden de un
equipo distinto al que verdadera-
mente los ha originado. As, por
ejemplo, el atacante tratara de
seleccionar una direccin IP
correspondiente a la de un equipo
legtimamente autorizado para acceder al sistema que pretende ser engaado. En el documento
RFC 2267 se ofrece informacin detallada sobre el problema del IP Spoofing.
Los propietarios de las redes y operadores de telecomunicaciones podran evitar en gran
medida el IP Spoofing implantando filtros para que todo el trfico saliente de sus redes
llevara asociado una direccin IP de la propia red desde la que se origina el trfico.
Otro posible ataque sera el secuestro de sesiones ya establecidas (hijacking), donde el
atacante trata de suplantar la direccin IP de la vctima y el nmero de secuencia del prximo
paquete de datos que va a transmitir. Con el secuestro de sesiones se podran llevar a cabo
determinadas operaciones en nombre de un usuario que mantiene una sesin activa en un
sistema informtico como, por ejemplo, transferencias desde sus propias cuentas corrientes
si en ese momento se encuentra conectado al servidor de una entidad financiera.

2. DNS Spoofing
Los ataques de falsificacin de DNS pretenden provocar un direccionamiento errneo en
los equipos afectados, debido a una traduccin errnea de los nombres de dominio a direcciones
IP, facilitando de este modo la redireccin de los usuarios de los sistemas afectados hacia
pginas Web falsas o bien la interceptacin de sus mensajes de correo electrnico.
Para ello, en este tipo de ataque los intrusos consiguen que un servidor DNS legtimo
acepte y utilice informacin in correcta obtenida de un ordenador que no posee autoridad para
ofrecer- la. De este modo, se persigue inyectar informacin falsa en el base de datos del
servidor de nombres, procedimiento conocido como envenenamiento de la cach del servidor
DNS, ocasionando con ello serios problemas de seguridad, como los que se describen de
forma ms detallada a continuacin:
Redireccin de los usuarios del servidor DNS atacado a Websites errneos en Internet,
que simulan ser los Websites reales. De este modo, los atacantes podran provocar que
los usuarios des- cargasen de Internet software modificado en lugar del legtimo
(descarga de cdigo daino, como virus o troyanos, desde Websites maliciosos).
La manipulacin de los servidores DNS tambin podra estar detrs de algunos
casos de phishing, mediante la redireccin de los usuarios hacia pginas Web falsas
creadas con la intencin de obtener datos confidenciales, como sus claves de acceso a
servicios de banca electrnica.
3. Ataques de Cross-Site Scripting (XSS)
Los ataques de Cross-Site Scripting consisten bsicamente en la ejecucin de cdigo
Script (como Visual Ba sic Script o Java Script) arbitrario en un navegador, en el contexto
de seguridad de la conexin a un determinado servidor Web.
Son ataques dirigidos, por lo tanto, contra los usuarios y no contra el servidor Web.
Mediante Cross-Site Scripting, un atacante pueda realizar operaciones o acceder a
informacin en un servidor Web en nombre del usuario afecta- do, suplantando su identidad.
Estos ataques se pueden producir cuando el servidor Web no filtra correctamente las
peticiones HTTP de los usuarios, los cuales pueden enviar cadenas de texto a travs de
formularios o directamente a travs de la propia direccin URL de la pgina Web. Estas
cadenas de texto podran incluir cdigo en lenguaje Script, que a su vez podra ser reenviado
al usuario dentro de una pgina Web dinmica generada por el servidor como respuesta a
una determinada peticin, con la intencin de que este cdigo Script se ejecutase en el
navegador del usuario, no afectando por lo tanto al servidor Web, pero s a algunos de los
usuarios que confan en l.
Entre las posibilidades de ataque a travs de Cross-Site Scripting podramos destacar las
siguientes:
Obtencin de cookies e identificado- res de usuarios, que permiten capturar sesiones
y suplantar la identidad de los afectados.
Modificacin de contenidos para engaar al visitante vctima del ataque Cross-Site
Scripting, con la posibilidad de construir formularios para robar datos sensibles, como
contraseas, da- tos bancarios, etctera.
4. Ataques de Inyeccin de Cdigo SQL
SQL, Structured Query Language (Lenguaje de Consulta Estructurado), es un lenguaje
textual utilizado para interactuar con bases de datos relacionales. La unidad tpica de ejecucin
de SQL es la consulta (query), conjunto de instrucciones que permiten modificar la estructura
de la base de datos (mediante instrucciones del tipo Data Definition Language, DDL) o
manipular el contenido de la base de datos (mediante instrucciones del tipo Data
Manipulation Language, MDL). En los servidores Web se utiliza este lenguaje para acceder
a bases de datos y ofrecer pginas dinmicas o nuevas funcionalidades a sus usuarios.
El ataque por inyeccin de cdigo SQL se produce cuando no se filtra de forma adecuada
la informacin enviada por el usuario. Un usuario malicioso podra incluir y ejecutar textos que
representen nuevas sentencias SQL que el servidor no debera aceptar. Este tipo de ataque es
independiente del sistema de bases de datos subyacente, ya que depende nicamente de una
inadecuada validacin de los datos de entrada.
Como consecuencia de estos ataques y, de- pendiendo de los privilegios del usuario de base
de datos bajo el cual se ejecutan las consultas, se podra acceder no slo a las tablas relaciona-
das con la operacin de la aplicacin del servidor Web, sino tambin a las tablas de otras
bases de datos alojadas en el mismo servidor Web. Tambin pueden propiciar la ejecucin de
comandos arbitrarios del sistema operativo del equipo del servidor Web.
5. Denegacin del Servicio (Ataques DoS Denial of Service)
Los ataques de Denegacin de Servicio (DoS)
consisten en distintas actuaciones que persiguen
colapsar determinados equipos o redes
informticos, para impedir que puedan ofrecer
sus servicios a sus clientes y usuarios. Para ello,
existen varias posibilidades de conseguirlo:
Ejecutar algunas actividades que
produzcan un elevado consumo de los
re- cursos de las mquinas afectadas:
procesador, memoria y/o disco duro,
provocando una cada en su
rendimiento. Entre ellas podramos citar
el estable- cimiento de mltiples
conexiones simultneas, el envo
masivo de ficheros de gran tamao o los
ataques lanzados contra los puertos de
configuracin de los routers.
Provocar el colapso de redes de ordenadores mediante la generacin de grandes
cantidades de trfico, general-mente desde mltiples equipos.
Transmisin de paquetes de datos mal- formados o que incumplan las reglas de un
protocolo, para provocar la cada de un equipo que no se encuentre prepara- do para
recibir este tipo de trfico malintencionado.
Sabotajes mediante routers maliciosos, que se encarguen de proporcionar informacin
falsa sobre tablas de enrutamiento que impidan el acceso a ciertas mquinas de la red.
Activacin de programas bacteria, cuyo objetivo es replicarse dentro de un
sistema informtico, consumiendo la memoria y la capacidad del procesador hasta
detener por completo al equipo infectado.
Envo masivo de miles mensajes de correo electrnico (mail bombing), provocando
la sobrecarga del servidor de correo y/o de las redes afectadas.

Ataque reflector (reflector attack), que persigue generar un intercambio

ininterrumpido de trfico entre dos o ms equipos para disminuir su rendimiento o
incluso conseguir su completo bloqueo dentro de una red informtica.
Incumplimiento de las reglas de un protocolo. Para ello, se suelen utilizar protocolos no
orientados a conexin, como UDP o ICMP, o bien el protocolo TCP sin llegar a
establecer una conexin completa con el equipo atacad.
 5. Connection Flood: tipo de ataque que
consiste en intentar establecer cientos o miles de
conexiones simult- neas contra un determinado
servidor vctima del ataque, con lo que se con-
sumen sus recursos y se degrada de forma notable
su respuesta ante usuarios legtimos. Este tipo de
ataques se han lanzado con xito contra los Web-
sites de algunas empresas, como en el caso de la
tienda de juguetes on-line eToys, cuyo Website
lleg a estar colapsado durante varios das por un
ata- que coordinado llevado a cabo desde cientos de
equipos.
La mayora de las empresas que brindan servicios de
Internet (ISP) tienen un lmite mximo en el nmero de
conexiones simultaneas. Una vez que se alcanza ese lmite, no se admitirn conexiones
nuevas. As, por ejemplo, un servidor Web puede tener, por ejemplo, capacidad para
atender a mil usuarios simultneos. Si un atacante establece mil conexiones y no realiza
ninguna peticin sobre ellas, monopolizar la capacidad del servidor. Las conexiones van
caducando por inactividad poco a poco, pero el atacante slo necesita intentar nuevas
conexiones, (como ocurre con el caso del SYN Flood) para mantener fuera de servicio el
servidor.

7. Net Flood: ataque

similar al que se ha expuesto
anteriormente, consiste en el
envo de trfico masivo contra
una determinada red conectada
a Internet, para tratar de
degradar su funciona- miento.

En estos casos, la red vctima

no puede hacer nada. Aunque
filtre el trfico en sus sistemas,
sus lneas estarn saturadas con
trfico malicioso,
incapacitndolas para cursar
trfico til.

Un ejemplo habitual es el de un telfono: si alguien quiere molestar, slo tiene que llamar, de
forma continua. Si se descuelga el telfono (para que deje de molestar), tampoco se puede recibir
llamadas de otras personas. Este problema es habitual, por ejemplo, cuando alguien intenta
mandar un fax empleando el nmero de voz: el fax insiste durante horas, sin que el usuario
llamado pueda hacer nada al respecto.

En el caso de Net Flooding ocurre algo similar. El atacante enva tantos paquetes de solicitud de
conexin que las conexiones autnticas simplemente no pueden competir.
En casos as el primer paso a realizar es el ponerse en contacto con el Proveedor del servicio
para que intente determinar la fuente del ataque y, como medida provisional, filtre el ataque en
su extremo de la lnea.

El siguiente paso consiste en localizar las fuentes del ataque e informar a sus administradores,
ya que seguramente se estarn usando sus recursos sin su conocimiento y consentimiento. Si el
atacante emplea IP Spoofing, el rastreo puede ser casi imposible, ya que en muchos casos la
fuente del ataque es, a su vez, vctima y el origen ltimo puede ser prcticamente imposible de
determinar (Looping).
8. Smurf (pitufo): ataque DoS que se lleva a cabo mediante el envo de una gran cantidad
de mensajes de control ICMP (Internet Control Message Protocol) de solicitud de eco dirigidos
a direcciones de difusin (direcciones (servicio disponible en el puerto 7, que responde a
cada uno de los paquetes que recibe), para de este modo conseguir un intercambio
interminable de paquetes UDP entre los dos equipos, generando una especie de tormenta de
paquetes UDP. Para evitar este tipo de ataques conviene desactivar estos ser- vicios en los
equipos de la red, as como filtrar este trfico a travs de un cortafuegos.

Este ataque es bastante simple y a su vez devastador. Consiste en recolectar una serie de
direcciones BroadCast para, a continuacin, mandar una peticin ICMP (simulando un Ping) a
cada una de ellas en serie, varias veces, falsificando la direccin IP de origen (mquina vctima).
Este paquete maliciosamente manipulado, ser repetido en difusin (Broadcast), y cientos
miles de hosts mandarn una respuesta a la vctima cuya direccin IP figura en el paquete ICMP.
Grficamente:

Suponiendo que se considere una

red de tipo C la direccin de
BroadCast sera .255; por lo que
el "simple" envo de un paquete
se convierte en un efecto
multiplicador devastador.
Desgraciadamente la vctima no
puede hacer nada para evitarlo.
La solucin est en manos de los
administradores de red, los cuales
deben configurar adecuadamente
sus Routers para filtrar los
paquetes ICMP de peticin
indeseados (Broadcast); o bien
configurar sus mquinas para que
no respondan a dichos paquetes.
Es decir, que lo que se parchea
son las mquinas/redes que
puedan actuar de intermediarias (inocentes) en el ataque y no la mquina vctima.
Tambin se podra evitar el ataque si el Router/Firewall de salida del atacante estuviera
convenientemente configurado para evitar Spoofing. Esto se hara filtrando todos los paquetes
de salida que tuvieran una direccin de origen que no perteneciera a la red interna.
9. Snork UDP: ataque similar al anteriormente descrito (bomba UDP), dirigido contra
sistemas Windows. En este caso se emplea un paquete de da- tos UDP con origen en el puerto
7 (servicio echo) o el puerto 19 (servi- cio chargen), utilizando como puerto de destino el
135, en el que se ubica el servicio de localizacin de Microsoft a travs del protocolo NetBIOS.
De este modo, se consigue un intercambio de paquetes UDP innecesario que reduce el
rendimiento de los equipos y de la red afectada. Se trata, por tanto, de otro ataque del tipo
reflector attack.

El ataque Snork es similar al bucle UDP. Emplea un marco UDP en el que el puerto
de origen puede ser el 7 (echo) o el 9 (chargen) y el puerto de destino es el
135 (servicio de localizacion de Microsoft). Con ello se consigue el mismo
resultado que con el bucle UDP, un flujo de transmisiones basura que reduce el
rendimiento o hace que el/los sistema/s quede/n anulado/s.

Puede funcionar como sniffer (podemos ver en consola y en tiempo real qu ocurre en nuestra
red, todo nuestro trfico), registro de paquetes (permite guardar en un archivo los logs para su
posterior anlisis, un anlisis offline) o como un IDS normal (en este caso NIDS). Cuando un
paquete coincide con algn patrn establecido en las reglas de configuracin, se logea. As se
sabe cundo, de dnde y cmo se produjo el ataque.

An cuando tcpdump es considerada una herramienta de auditora muy til, no se considera un

verdadero IDS puesto que
no analiza ni seala
paquetes por anomalas.
tcpdump imprime toda la
informacin de paquetes a
la salida en pantalla o a un
archivo de registro sin
ningn tipo de anlisis. Un
verdadero IDS analiza los
paquetes, marca las
transmisiones que sean
potencialmente maliciosas
y las almacena en un
registro formateado, as,
Snort utiliza la biblioteca
estndar libcap y tcpdump
como registro de paquetes
en el fondo.

10. Ataques de Denegacin de Servicio Distribuidos (DDoS)

Los Ataques de Denegacin de Servicio Distribuidos (DDoS) se llevan a cabo mediante
equipos zombis. Los equipos zombis son equipos infectados por virus o troyanos, sin que
sus propietarios lo hayan advertido, que abren puertas traseras y facilitan su control remoto por
 parte de usuarios remotos. Estos usuarios maliciosos suelen organizar ataques coordinados en
los que pueden intervenir centenares o incluso miles de estos equipos, sin que sus propietarios
y usuarios legtimos lleguen a ser conscientes del problema, para tratar de colapsar las redes
y los servidores objeto del ataque. Generalmente los equipos zombis cuentan con una
conexin ADSL u otro tipo de conexin de banda ancha, de tal modo que suelen estar
disponibles las 24 horas.
Para luchar de forma eficaz contra este tipo de ataques es necesario contar con la
colaboracin de los proveedores de acceso a Internet, para filtrar o limitar el trfico
procedente de los equipos que participan en el ataque. En este sentido, cabra destacar una
iniciativa pionera llevada a cabo a finales de mayo de 2005 por la FTC (Comisin Federal de
Comercio estadounidense) para tratar de identificar y poner en cuarentena a los clientes
de los proveedores de acceso a Internet cuyos ordenadores se hayan convertido (seguramente
sin su conocimiento) en una mquina zombi.
Los equipos zombis tambin estn siendo utilizados por los spammers para la difusin
masiva de sus mensajes de correo no solicita- dos.
Incluso en algunos pases ya se han dado casos de alquiler de redes zombi (conocidas
como botnets) para poder llevar a cabo ataques de Denegacin de Servicio Distribuidos
(DDoS). As, por ejemplo, en el Reino Unido varios jvenes crackers alquilaban redes con
30.000 ordenadores zombi por un precio de
100 dlares la hora para realizar ataques masi- vos de denegacin de servicio. Y en el verano
de 2004 un empresario de Massachussets pag a tres crackers menores de edad para realizar
ataques con una red zombi de 10.000 equipos contra los servidores de las empresas de la
competencia.
Asimismo, la disponibilidad de herramientas como TFN (Tribe Flood Net) y TFN2K
facilita el desarrollo de este tipo de ataques. En concreto, esta herramienta mejora la
comunicacin y control de los equipos zombis utilizan- do paquetes TCP, UDP o ICMP, as
como tcnicas
criptogrficas (como
el algoritmo CAST-
256) para dificultar la
deteccin del atacante.
TFN2K permite
programar distintos
tipos de ataques
(flooding,
smurf...) y cambia
de forma frecuente las
cabeceras de los
paquetes que enva a
los equipos zombis
para dificultar su
deteccin por los
Sistemas de Deteccin
de Intrusiones (IDS).
Los casos de ataques informticos que a continuacin se elabora teniendo en
cuenta criterios como el impacto econmico final sobre la vctima, la dimensin de las
fugas o robos de informacin de usuarios, empresas o instituciones, as como el dao
causado a la reputacin y los efectos globales sobre la red de redes.
1. Robo de 81 millones al Banco Central de Banglads

Varios piratas informticos lograron acceder a los sistemas del Banco Central de
Banglads y transferir 81 millones de dlares a varios casinos de Filipinas. Un error
ortogrfico evit la catstrofe: el nombre mal escrito de uno de los destinatarios levant
las alarmas y permiti bloquear el ataque, planeado para obtener casi mil millones de
dlares.

2. Robo de 64 millones en bitcoins a Bitfinex

El mayor operador mundial de intercambio de bitcoin basado en dlares, Bitfinex,

radicado en Hong Kong, fue el objeto de este ataque. La cotizacin del bitcoin superior
cay un 23% en los das posteriores.

3. Publicacin de los datos de 154 millones de votantes de EEUU

Los datos incluan informacin personal de los electores, como la direccin, el correo
electrnico, el nmero de telfono o enlaces a sus redes sociales.

4. Publicacin de informacin personal de 93 millones de mexicanos

Un fallo en la configuracin de la base de datos de MongoDB, utilizada por el Instituto
Nacional Electoral de Mxico, provoc una difusin masiva de datos personales en el
pas. Un hecho que provoc gran revuelo en Mxico, donde los secuestros son un
crimen relativamente habitual.

5. Robo de mil millones de cuentas de Yahoo

Una piedra ms en el nefasto ao de la tecnolgica. Adems de fechas de nacimiento,
direcciones de correo electrnico, nmeros de telfono, contraseas en MD5, la
informacin robada tambin contena preguntas y respuestas de seguridad sin cifrar.

6. Robo de 500 millones de cuentas a Yahoo (en 2014)

Otro suceso relacionado con la misma compaa. Este ataque, segn la informacin
desvelada hasta el momento, podra haber sido respaldado por un Estado extranjero.
Entre los datos robados, de nuevo se encontraban preguntas y respuestas de
seguridad sin cifrar.

7. Robo de 400 millones de cuentas a Friend Finder Network Inc.

El masivo robo a Friend Finder Network Inc., compaa que gestiona diferentes
pginas de citas, incluy datos personales de sus usuarios, como el correo electrnico,
los patrones de navegacin, los patrones de compra y su orientacin sexual.
8. Ataque de denegacin de servicio (DDoS) a Play Station y Twitter, entre otros
Se trata del mayor ataque de DDoS producido hasta la fecha con dispositivos de
Internet de las cosas (IoT). Producido por la botnet Mirai, compuesta por cientos de
miles de cmaras IP junto a otros dispositivos IoT, dej fuera de juego a mltiples
servicios de Internet, llegando a afectar a Play Station Network y Twitter, entre otros.
Se sospecha que este ciberataque habra sido tambin una prueba de concepto para
afectar al funcionamiento de los sistemas de voto electrnico de EE.UU., antes de las
elecciones del 8 de noviembre.

9. Fallo en la implementacin de la pila TCP en sistemas Linux

El fallo en la implementacin de la pila TCP en sistemas Linux --posteriores a la versin
de Kermel 3.6.-- permiti la infeccin de malware de forma remota o incluso el
secuestro del trfico de usuarios con sistema operativo Android y en televisores
inteligentes. El ataque, adems, degrad las conexiones a la red mediante el protocolo
Https, redirigiendo el trfico.

10. Fallo en los procesadores Qualcomm

El fallo en procesadores Qualcomm permiti a los piratas acceder a informacin cifrada
sin que se activasen los mecanismos de borrados en millones de telfonos. Esta
vulnerabilidad en la generacin de las claves de cifrado afect aproximadamente al
60% de los mviles Android del mercado.
 DNS SPOOFING

SNORK CDP

SMORF PITUFO
 INYECCION DE
CODIGOS

NAVEGACION DE
SERVICIO DISTRIBUIDO

CROSS-SITE
SCRIPTING
 IP SPOOFING

NET FLOOD

CONNENCTION FLOOD
DOS-DENIAL OF SEVICE