Unidad 2: Fase 4. Conocer las características y el funcionamiento de las amenazas.

Introducción

Un Sistema Operativo es un conjunto de programas que regulan los aspectos fundamentales del
sistema y corradina las aplicaciones y servicios que maneja el usuario.

 Es importante tener claro el concepto de dos términos fundamentales al hablar del cuidado en un
sistema operativo.

 Seguridad: Ausencia de un riesgo.

 Protección: Mecanismo utilizados por el sistema operativo para salvaguardar la

información, procesos, usuarios, etc.
 ii

Tabla de Contenidos
El funcionamiento de un software de captura de teclas es sencillo, “este se ejecuta en
segundo plano sin notificar al usuario y tomará nota de cada golpe de teclado y luego lo
alimentará a un servidor en línea al que puede acceder el atacante”. [ CITATION
Rub18 \l 2058 ]

Para prevenir ser víctima de este tipo de ataque, es recomendable utilizar siempre un
software de antivirus para proteger el Pc. Adicional a esto también se puede usar
programas como Zemana AntiLogger y SpyShelter Stop-Logger.

Zemana AntiLogger es una aplicación que protege una computadora de ataques de

keyloggers. Esta encripta cada uno de sus golpes de teclado y entrega información
descifrado. Esto significa que el criminal podrá registrar sus pulsaciones de teclas, pero
se le presentarán en un formato codificado e ilegible.

SpyShelter es un programa que proporciona cifrado de lo que se teclee, sino que también
protege el PC contra capturas de pantalla o portapapeles.

Malware

Malware en español. Es un programa que tiene la intención de dañar y robar, etc.

Incluye virus informáticos, gusanos, caballos de Troya, spyware, adware deshonesto,
software delictivo, la mayoría de los rootkits, entre otros.

Algunos tipos de malware:

 “Virus: Los virus infectan archivos limpios. Dañan las funciones esenciales de un
sistema, y eliminan archivos
abierta de testeo de seguridad)

Para la detección de errores de seguridad y vulnerabilidad en sistemas operativos.

Es uno de los estándares más completos y usualmente utilizados en Auditorías de
Seguridad para revisar la Seguridad de los Sistemas desde Internet.

Describe las fases que habría que realizar para la auditoría.

Sus fases son:

  Seguridad de la Información.
 Seguridad de los Procesos.
 Seguridad en las tecnologías de Internet.
 Seguridad en las Comunicaciones.
 Seguridad Inalámbrica
Herramientas de Análisis

Como Herramientas de análisis de Vulnerabilidades se proponen las siguientes:

Burp Suite
penetración en aplicaciones web.

Características:

Openvas (open vulnerability assessment system)

Escáner de vulnerabilidades sirve para evaluar los riesgos de seguridad en los equipos
de una red y cerrar sus vulnerabilidades.

des

Metodología seleccionada: OWASP TESTING GUIDE.

Se selecciona OWASP TESTING GUIDE ya que es un manual de referencia que cuenta

con una estructurada metodología para revisar y evaluar el estado de seguridad de la
organización DIGITAL COVERS.

Recomendación:

Se recomienda el uso de OWASP GUIDE TEST porque le da a la organización un

enfoque a la hora de las pruebas de seguridad enfocado al test de sus aplicaciones,
garantiza la integridad de la información y la correcta evaluación de su infraestructura.

Herramienta de análisis de vulnerabilidades seleccionada: ZED ATTACK PROXY.

Se selecciona ZED ATTACK PROXY porque es una es una herramienta de código
abierto escrita en java proveniente del proyecto OWASP, que permite realizar TESTS de
penetración en aplicaciones web

Herramientas de detección de intrusos e ingeniería social, para proponer como

posible solución de implementación en la compañía.

IDS PASIVO

Un IDS pasivo es un sistema que está configurado solo para monitorear y analizar la
actividad del tráfico de la red y alertar a un operador sobre posibles vulnerabilidades y
ataques. La notificación o alerta puede venir en muchas formas, incluido un correo
electrónico, un mensaje de texto, una ventana emergente o una notificación en un monitor
NIDS (Red IDS): por su sigla en inglés (NETWORK INTRUSION DETECTIONS
SYSTEM). Sistema de detención de intrusos en la red, Este tipo de IDS se encargan de un
segmento de la red, identificando el tráfico y los ataques que apunten a ese segmento.
Funcionan similar a un SNIFFER, pero el SNIFFER funciona como complemento en la
captura de paquetes.  
Está catalogado entre los sistemas de detección de intrusos basados en la red, son
aplicaciones que, al ser conectadas a la red por medio de los adaptadores, pueden
monitorear el tráfico de paquetes para controlar anomalías que evidencias las acciones de
intrusos o hackers, permitiendo la revisión de casa paquete con algún tipo de ataque.

Algunas de las ventajas de los NIDS son:

 Con un solo NIDS instalado en un segmento de red, analizan el tráfico de la red

completa, examinando cada paquete individualmente, a diferencia de los HIDS
que deben instalarse en cada equipo.
 Son capaces de detectar paquetes cuidadosamente diseñados maliciosamente para
no ser detectados por los cortafuegos.
 Genera alerta al programa que el atacante está intentando acceder.
 Analizan el tráfico de red en tiempo real y trabajan a nivel de aplicación y a nivel
de TCP/IP
 Están ocultos para los atacantes

Desventajas:

 No son tan eficaces con los textos cifrados.

 Se presentan fallas en redes de alta velocidad.
 Perdida de paquetes cuando la red se congestiona.

Herramientas de monitoreo propuestas:

SURICATA

Para la organización DIGITAL COVERS, sería una buena elección ya que SURICATA es

un IDS y además ya cuenta en su interfaz con una herramienta de monitoreo por medio
de la cual se puede ver el tráfico de la red, es decir, cuenta es IDS y cuenta con
herramienta de monitoreo al mismo tiempo.
 
“SURICATA es un motor de detección de amenazas de red gratuito, de código abierto,
rápido y robusto que realiza detección de intrusos en tiempo real (IDS), prevención de
intrusos en línea (IPS), monitoreo de seguridad de red (NSM) y procesamiento PCP fuera
de línea.

SURICATA inspecciona el tráfico de la red utilizando un lenguaje de firma y reglas

poderoso y extenso, y tiene un poderoso soporte de scripts LUA para la detección de
amenazas complejas.
Esta herramienta se ha desarrollado para controlar el tráfico de red y su principal objetivo
es que rastree o busque los eventos de seguridad que pueden indicar un ataque o posible
intrusión en un servidor o en algún equipo de la red” (SURICATA.ORG)
  Lenguaje de script personalizado
 Guiones de políticas predefinidos
 SNORT soporte de compatibilidad de firma
 Poderosa facilidad de coincidencia de firma
 Enfoque diferente del análisis de red
 La detección sigue una acción inmediata

BROIDS registra es capaz de registrar las actividades en la red con detalle, por lo cual es
mucho más útil para las investigaciones forenses de la red. BROIDS es popular, ya que
apunta a la intrusión de alta velocidad y alto volumen, y detecta el uso de potentes
técnicas de filtrado de paquetes para lograr el rendimiento esencial.
 Propuestas para Implementación del servidor Proxy

HTTP proxy
OWASP ZAP PROXY:

OWASP ZAP es un escáner de seguridad web de código abierto. Pretende ser utilizado
como una aplicación de seguridad y como una herramienta profesional para pruebas de
penetración.

Implementación

En este caso vamos a ver los elementos que integran un HTTP PROXY y como se
pueden utilizar para manipular las peticiones y las respuestas que obtenemos de una
aplicación.

Instalar ZAPROXY
Se habilita snapd
sudo apt update Y sudo apt install snapd

Para instalar ZAPROXY, se usa el siguiente comando:

sudo snap install zaproxy --classic

En esta imagen se refleja el progreso de la instalación

Se puede visualizar el software ZAPPROXY se ha instalado:

La siguiente es la interfaz que arroja al iniciar el programa:
Después se debe configurar el navegador para que intercepte toda la información que el
navegador envía hacia una aplicación y toda la información que recibe, para esto la
configuración es muy parecida en todos los navegadores, en este caso es FIREFOX.
Vamos a la configuración y buscamos el botón preferencias.
Luego en las configuraciones avanzadas vamos a la parte que dice configuración de red

En esta parte se puede observar que hay diferentes opciones relacionadas con el proxy.
Usualmente un proxy se usa en una computadora para hacer reenviar la información
hacia un “equipo” que esta en una red y que de ahí se envíe hacia internet.
Lo que se hace al configurar el proxy es imitar el uso de ese “equipo” a través de un
software instalado dentro de nuestro computador, (ZAP PROXY) y que va a hacer que el
navegador envíe toda la información hacia ese proxy antes de que salga hacia internet.

Para hacerlo, se configura manualmente el proxy.

Vamos a la IP 127.0.0.1 o local host la cual hace referencia al mismo equipo que
nosotros estamos utilizando.
Luego en el submenú Opciones, acceder a la opción Proxy local; y en la configuración
del proxy local, introducimos los datos del Address y Puerto, recomiendo localhost y
8018, el mismo que se usó en la configuración del navegador.
para que navegue a través de OWASP ZAP, los datos de Proxy HTTP y Puerto tienen que
coincidir con los del punto 4 (ej. localhost, 8018).
Concluida la configuración del navegador web, ya estamos en condiciones de comenzar a
monitorear todo el flujo de peticiones y respuestas HTTP. Ya estamos en condiciones de
realizar pruebas de seguridad.

Zap proxy permite realizar escaneo automatizado de las páginas web.

Se hace a través de la pestaña Inicio rápido. Quick Start es un complemento de ZAP que
se incluye automáticamente cuando instala ZAP.

Para esto:

 Se hace clic en el botón grande Escaneo automático.

  En el cuadro de texto URL para atacar, ingrese la URL completa de la
aplicación web que desea atacar, En este caso vamos a escanear
www.facebook.com
 Haz clic en el ataque.

ZAP escanea las solicitudes y respuestas enviadas a través de él. 

Se puede observar que está realizado análisis pasivos de la aplicación web. 
El escaneo pasivo no cambia las respuestas de ninguna manera y se considera seguro. 
El escaneo pasivo es bueno para encontrar algunas vulnerabilidades y como una forma de
tener una idea del estado básico de seguridad de una aplicación web y ubicar dónde se
justifica una mayor investigación.
Se puede observar que encuentra bajo el riesgo al ingresar a www.facebook.com

Estas son las categorías de riesgo:

Podemos ver que se han generado mensajes HTTP (la mayoría usando el método GET)
para cargar completamente la página. 

También se puede observar detalladamente en la opción “REQUEST” cada uno de los

mensajes HTTP intercambiados, veamos la respuesta que se generó por parte del servidor
web de la página cuando se ingresó a la dirección http://www.facebook.com .

Conclusión de la implementación:

 ZAP PROXY es un proxy que sirve para interceptar peticiones entre un cliente y
un servidor, no es un proxy de control, ni cache de navegación.
  Zap Proxy es un proxy de interceptación ideal en el campo de la seguridad,
configurado de la manera correcta, permite ver todo el tráfico entre el navegador y
el servidor web de turno, dejando ver de forma sencilla las cabeceras y cuerpo de
los mensajes HTTP sin importar el método usado (HEAD, GET, POST, etc).
 Además se puede modificar el tráfico HTTP a nuestro antojo en ambas
direcciones de la comunicación (entre el servidor web y el navegador).

 Es una herramienta que cuenta con muy buena documentación y soporte.

 Se recomienda que ZAP solo se instale y use en sistemas operativos que estén
completamente parcheados y mantenidos activamente.

Servidor Proxy con Windows

El proxy es un servidor que puede ser software o equipo que actua de intermediario
entre el explorador web y el internet, para mejorar la seguridad.

En la maquina virtual instalado ya previamente el SO windows instalamos la aplicación

llamada WinGate.
Una vez instalada se realiza la configuracion de la aplicación.
Se crea un usuario administrador
Lo primero que se hace es realizar la configuracion del adaptador

Se realiza la configuracion del adaptador de red en propiedas de la red inhalambrica

dando clic en properties

Se selección la red wifi y se selecciona proteccion interna

Ahora nos devolvemos a configurar servicios

Se instala el servicios el DHCP

Se configura para que actualice automaticamente

Se confirma que este automatico se aplica y acepta

Se instala el otro servicio de DNS

Ya instalados los dos servicios, nos devolvemos y en la opcion de clasificadores

Seleccionamos clasificadores manuales

Aparecen todos los sitios restringidos,

Vamos a añadir un sitio mas

Aquí vamos a probar el proxy con la restriccion a redes sociales, entonces en el campo
añadimos el sitio a restringir con *. /como muestra el siguiente ejemplo facebook

Seleccionar

Añadimos una nueva categoria en add new

Que llamaremos redes sociales

Ya queda creado
Se selecciona y se da clic en ok

Creamos la regla de retriccion a otro sitio, en este caso a you tobe

Se seleccionan las redes

Ahora vamos a acces rules

Aquí vemos lo que esta denegado y lo que no, pero vamos a adionar una regla

Denegar el acceso
Todos los usuarios denegados

Todas las ips que vienen por defecto

La opcion por defecto

Vamos a cargar una categoria

Seleccionamos la de redes sociales

Despues de seleccionarlo ok y ok y en la siguiente imagen muestra las horas que
pudieramos restringir, para este caso lo dejamos todo el tiempo.

Se ha creado el bloqueo a redes sociales

Ahora vamos a cdm a mirar la ip a la que estamos conectados

La direccion es la ipv4 configurada la colocamos en la configuracion del proxy

Configuramos esta ip en el proxy del explorador google chorme

Volvemos al wingate para realizar algunas configuraciones

Esta categoria que viene por defecto se va a denegar

Se procede a configurar el Proxy en Mozilla

Nos dirigimos a configuraciones, luego a preferencias

Configuraciones de red
Se selecciona la opción de HTTP proxy y se cola la IP y el puerto

Abrimos una nueva ventana y damos clic en Facebook

Como se observa, no permite el acceso a la página.
 Referencias

1. Suffer. [En Wikipedia]. Recuperado de https://es.wikipedia.org/wiki/Buffer

2. Directorio Traversal [En Wikiepdia] Recuperado de
https://es.wikipedia.org/wiki/Directory_traversal
3. Cross-site scripting [En Wikipedia] Recuperado de
https://es.wikipedia.org/wiki/Cross-site_scripting
4. Ramiro, R. (20 de Enero de 2018). 5 Tipos de ataques informáticos y cómo
prevenirlos. Recuperado de: https://ciberseguridad.blog/25-tipos-de-ataques-
informaticos-y-como-prevenirlos/
5. raul, h. (1 de Abril de 2017). ¿Eres vulnerable a un ataque de Directory
Traversal? Aplicación de la OTG-AUTHZ-001 con OWASP ZAP. Recuperado de
https://henryraul.wordpress.com/2017/04/01/pruebas-de-seguridad-de-directory-
tranversal-con-burp-suite-y-owasp-zap-proxy/
6. Contraseñas débiles o robadas. (s.f.) Recuperado de:
https://www.watchguard.com/es/wgrd-solutions/security-topics/weak-and-stolen-
passwords
7. Pautas sobre la inyección de comandos. (s.f.) Recuperado de:
http://www.juntadeandalucia.es/servicios/madeja/sites/default/files/historico/1.3.0
/contenido-libro-pautas-114.html

8. Inyección de código [En Wikpedia] Recuperado de:

https://es.wikipedia.org/wiki/Inyecci%C3%B3n_de_c%C3%B3digo
9. Vulnerabilidad en Joruri Mail (CVE-2019-5965). (5 de Julio de 2019). Rcuperado
de https://www.incibe-cert.es/alerta-temprana/vulnerabilidades/cve-2019-5965
10. ¿Qué es un Ransomware? (s.f.) Recuperado de:
https://www.pandasecurity.com/spain/mediacenter/malware/que-es-un-
ransomware/
11. Qué son los ataques de fuerza bruta? (s.f.). Rcuperado de
https://spamina.com/knowledge-base/brute-force-attacks
12. Penetration Testing Execution Standard (PTES). Recuperado de:
https://www.futurelearn.com/courses/ethical-hacking-an-
introduction/1/steps/523272
13. Information System Security Assessment Framework (ISSAF). Recuperado de:
https://www.futurelearn.com/courses/ethical-hacking-an-
introduction/1/steps/521919
14. Ignacio Pérez (2015). Cómo funciona una vulnerabilidad Local File Inclusion BY
ESET. Recuperado de https://www.welivesecurity.com/la-es/2015/01/12/como-
funciona-vulnerabilidad-local-file-inclusion/
15. CIBERSEGURIDAD.NET (2020) inclusión ficheros remotos RFI. Seguridad
redes y programación.https://www.cyberseguridad.net/index.php/181-inclusion-
de-ficheros-remotos-rfi-remote-file-inclusion-ataques-informaticos-ii
16. Microsoft 2020, Denegación de servicio recuperado de:
https://docs.microsoft.com/es-es/dotnet/framework/wcf/feature-details/denial-of-
service
17. Villalobos, M. J. (2008). Vulnerabilidad de sistemas gestores de bases de datos.
Uni ciencia. Vol. 22 (2008). (PP. 133) Recuperado de https://ebookcentral-
proquest-com.bibliotecavirtual.unad.edu.co/lib/unadsp/reader.action?
docID=3212927
18. Guamán, Daniel; Guamán, Franco; Jaramillo, Danilo; Sucunuta, Manuel. CISTI
(Iberian Conference on Information Systems & Technologies / Conferência
Ibérica de Sistemas e Technologies de Informação) Proceedings , 2017, Vol. 1,
p1169-1175, 7p; Language: Spanish, Base de datos: Applied Science &
Technology Source
19. Digital guide, 2019, DDOS y DOS recuperado
de:https://www.ionos.es/digitalguide/servidores/know-how/dos-y-ddos-un-
vistazo-a-ambos-patrones-de-ataque/
20. ONA SYSTEMS, 2018 Vulnerabilidades, recuperado
de:https://www.onasystems.net/vulnerabilidades-importantes-afectan-la-
seguridad-bases-datos-las-empresas/
21. DONGEE, 2018, vulnerabilidades. Recuperado de: https://blog.dongee.com/las-7-
vulnerabilidades-m%c3%a1s-comunes-de-sitios-web-que-no-puedes-pasar-por-
alto-59f29c1c3aea
22. Descargar: Guía de pruebas OWASP 4.0 En español.
https://mega.nz/#!n9gjWAaT!OY89LcxS_HKu1h1PCg294MkmDa8rsVCY7Jfz-
cL8dtw
23. OWASP 2020, Guía de pruebas de seguridad web de OWASP Recuperado de:
https://owasp.org/www-project-web-security-testing-guide/
24. TENABLE 2019, NESSUS PROFESSIONAL Recuperado de: https://es-
la.tenable.com/products/nessus/nessus-professional
25. CONEXIONESAN, 2019 CYBERSECURITY FRAMEWOK de NIST
Recuperado de: https://www.esan.edu.pe/conexion/actualidad/2019/04/30/que-es-
el-cybersecurity-framework-de-nist-de-los-estados-unidos/
26. Comisión federal del comercio, 2020. Seguridad del NIST, Recuperado de:
https://www.ftc.gov/es/tips-advice/business-center/small-
businesses/cybersecurity/nist-framework-es
27. DRAGONJAR, 2019 OSSTMM Recuperado de:
https://www.dragonjar.org/osstmm-manual-de-la-metodologia-abierta-de-testeo-
de-seguridad.xhtml
28. WELIVESECURITY, 2019, Como usar OPENVAS
https://www.welivesecurity.com/la-es/2014/11/18/como-utilizar-openvas-
evaluacion-vulnerabilidades/
29. WELIVESECURITY, 2019, Auditando un servidor web con NIKTO, Recuperado
de: https://www.welivesecurity.com/la-es/2012/06/05/auditando-servidor-web-
nikto/
30. HOSPELHORN, S. (2018). What is The Cyber Kill Chain and How to Use it
Effectively | Varonis. Recuoerado de https://www.varonis.com/blog/cyber-kill-
chain/
31. OWASP Zed Attack Proxy. Recuperado de https://blog.desdelinux.net/owasp-
zed-attack-proxy/
32. Burp suite professional |Auditoría web | Ciberseguridad. Recuperado de
https://www.tarlogic.com/productos/burp-suite-professional/
33. Fuente, Más información, características específicas y descarga en el siguiente
link: https://suricata-ids.org/
34. OWASP ZAP (2020), Descargar zap proxy, Recuperado de:
https://www.zaproxy.org/download/
35. Ubuntu,(2020) como instalar zap proxy en Ubuntu. Recuperado de:
https://snapcraft.io/install/zaproxy/ubuntu
36. OWASP ZAP (2020) Iniciar ZAP, Recuperado de:
https://www.zaproxy.org/getting-started/