MARCO TEÓRICO



A- Principales tipos de ataques informáticos:
Imagen_de_pdf_tipos_de_ataques.JPG


A la hora de estudiar los distintos tipos de ataques informáticos, podríamos diferenciar en primer lugar entre los ataques activos, que producen cambios en la información y en la situación de los recursos del sistema, y los ataques pasivos, que se limitan a registrar el uso de los recursos y/o a acceder a la información guardada o transmitida por el sistema. (Gómez A, s.f, p.1)
Seguridad informática: “La seguridad informática puede ser definida, básicamente, como la preservación de la confidencialidad, la integridad y la disponibilidad de los sistemas de información (Tipton, 2006)”.

Delito informático:
"Conductas típicas, antijurídicas y culpables en que se tienen a las computadoras como instrumento o fin“.
Sistema de información.
Son los Recursos Informáticos (Físicos y Lógicos) y Activos de Información de que dispone la empresa u organización para su correcto funcionamiento y la consecución de los objetivos propuestos por su Dirección.
Amenaza.
Cualquier evento que pueda provocar daño en los Sistemas de información, produciendo a la empresa pérdidas materiales, financieras o de otro tipo.
Vulnerabilidad.
Cualquier debilidad en los Sistemas de Información que pueda permitir a las amenazas causarles daños y producir pérdidas.
Existen otros conceptos a saber como:

Riesgo.
Incidente de seguridad.
Sistema de seguridad informática
¿Qué es un Hackers?

1- Ataques de suplantación de identidad:
1.1-IP Spoofing: (“enmascaramiento de la dirección IP”)
…Un atacante consigue modificar la cabecera de los paquetes enviados a un determinado sistema informático para simular que proceden de un equipo distinto al que verdaderamente los ha originado.”
Así, por ejemplo, el atacante trataría de seleccionar una dirección IP correspondiente a la de un equipo legítimamente autorizado para acceder al sistema que pretende ser engañado. (Gómez A, s.f, p.2)
1.2-DNS Spoofing:
Los ataques de falsificación de DNS pretenden provocar un direccionamiento erróneo en los equipos afectados, debido a una traducción errónea de los nombres de dominio a direcciones IP, facilitando de este modo la redirección de los usuarios de los sistemas afectados hacia páginas Web falsas o bien la interceptación de sus mensajes de correo electrónico. Para ello, en este tipo de ataque los intrusos consiguen que un servidor DNS legítimo acepte y utilice información incorrecta obtenida de un ordenador que no posee autoridad para ofrecerla. De este modo, se persigue “inyectar” información falsa en el base de datos del servidor de nombres, procedimiento conocido como “envenenamiento de la caché del servidor DNS”, ocasionando con ello serios problemas de seguridad… (Gómez A, s.f, p.2)
1.3- SMT Spoofing:
El envío de mensajes con remitentes falsos (“masquerading”) para tratar de engañar al destinatario o causar un daño en la reputación del supuesto remitente es otra técnica frecuente de ataque basado en la suplantación de la identidad de un usuario. De hecho, muchos virus emplean esta técnica para facilitar su propagación, al ofrecer información falsa sobre el posible origen de la infección. Asimismo, este tipo de ataque es muy utilizado por los “spammers”, que envían gran cantidad de mensajes de “correo basura” bajo una identidad falsa. En la actualidad, falsificar mensajes de correo resulta bastante sencillo porque el protocolo SMTP carece totalmente de autenticación. Así, un servidor configurado para aceptar conexiones SMTP en el puerto 25 podría ser utilizado por un usuario externo a la organización, empleando los comandos propios del protocolo, para que envíe mensajes que aparenten tener un origen seleccionado por el atacante cuando realmente tienen otro distinto. La dirección de origen puede ser una dirección existente o una inexistente con el formato adecuado. No obstante, los servidores de correo también podrían ser configurados para no aceptar envíos de mensajes desde equipos externos a la red local. (Gómez A, s.f, p.3)
1.4- Captura de cuentas de usuario y contraseñas
También es posible suplantar la identidad de los usuarios mediante herramientas que permitan capturar sus contraseñas, como los programas de software espía o los dispositivos hardware especializados que permitan registrar todas las pulsaciones en el teclado de un ordenador (“keyloggers”). De hecho, es posible localizar solucione disponibles en el mercado como KeyGhost (www.keyghost.com) o Key- Logger (www.keylogger.com). Se conoce como “snooping” a la técnica que permite observar la actividad de un usuario en su ordenador par obtener determinada información de interés, como podrían ser sus contraseñas. Los programas que permiten realizar esta actividad se conocen con el nombre de “snoopers”, los cuales pueden ser troyanos u otros “parásitos” que monitorizan dispositivos de entrada como lo ratones y los teclados. Por otra parte, mediante las técnicas de “Ingeniería Social un usuario podría ser engañado por una persona ajena a la organización para que le facilite sus contraseñas y claves de acceso. (Gómez A, s.f, p.3)
2- Conexión no autorizada a equipos y servidores:
Existen varias posibilidades para establecer una conexión no autorizada a otros equipos y servidores, entre las que podríamos destacar las siguientes:
• Violación de sistemas de control de acceso.
• Explotación de “agujeros de seguridad” (“exploits”).
• Utilización de “puertas traseras” (“backdoors”), conjunto de instrucciones no documentadas dentro de un programa o sistema operativo, que permiten acceder o tomar el control del equipo saltándose los controles de seguridad.
• Utilización de “rootkits”, programas similares a los troyanos, que se instalan en un equipo reemplazando a una herramienta o servicio legítimo del sistema operativo. Los “rootkits”, además de cumplir con las funciones de la herramienta o servicio que reemplazan en el equipo para no despertar sospechas, incorporan otras funciones ocultas que facilitan, entre otras cosas, el control remoto del equipo comprometido…
(Gómez A, s.f, p.4)
3- Ataques de Inyección de Código SQL:
SQL, “Structured Query Language” (Lenguaje de Consulta Estructurado), es un lenguaje textual utilizado para interactuar con bases de datos relacionales. La unidad típica de ejecución de SQL es la consulta (“query”), conjunto de instrucciones que permiten modificar la estructura de la base de datos (mediante instrucciones del tipo “Data Definition Language”, DDL) o manipular el contenido de la base de datos (mediante instrucciones del tipo “Data Manipulation Language”, MDL). En los servidores Web se utiliza este lenguaje para acceder a bases de datos y ofrecer páginas dinámicas o nuevas funcionalidades a sus usuarios. El ataque por inyección de código SQL se produce cuando no se filtra de forma adecuada la información enviada por el usuario. Un usuario malicioso podría incluir y ejecutar textos que representen nuevas sentencias SQL que el servidor no debería aceptar. Este tipo de ataque es independiente del sistema de bases de datos subyacente, ya que depende únicamente de una inadecuada validación de los datos de entrada. Como consecuencia de estos ataques y, dependiendo de los privilegios del usuario de base de datos bajo el cual se ejecutan las consultas, se podría acceder no sólo a las tablas relacionadas con la operación de la aplicación del servidor Web, sino también a las tablas de otras bases de datos alojadas en el mismo servidor Web. También pueden propiciar la ejecución de comandos arbitrarios del sistema operativo del equipo del servidor Web. (Gómez A, s.f, p.5)
4- Fraudes, engaños y extorsiones
Los fraudes y estafas financieros a través de Internet se han hecho muy frecuentes en estos últimos años. Se utiliza el término de “phishing” para referirse al tipo de ataques que tratan de obtener los números de cuenta y las claves de acceso a servicios bancarios, para realizar con ellos operaciones fraudulentas que perjudiquen a los legítimos propietarios. Generalmente, se utilizan páginas Web falsas que imitan a las originales de los servicios bancarios que pretenden suplantar. El “pharming” es una variante del “phishing” en la que los atacantes utilizan un virus que conecta a las víctimas desde su ordenador a páginas falsas en lugar de a las legítimas correspondientes a sus propias entidades financieras, para sustraer sus datos (números de cuenta y claves de acceso). El “pharming” y el “phishing” también pueden ser empleados para robar y utilizar de forma fraudulenta números de tarjetas de crédito.
Estos datos podrían ser utilizados para realizar ataques del tipo “salami”, consistentes en la repetición de gran cantidad de pequeñas operaciones, como transferencias bancarias de importe reducido, que podrían pasar inadvertidas a nivel individual, pero que en conjunto ocasionan un importante daño económico. Por otra parte, se han desarrollado virus y otros programas dañinos para facilitar las extorsiones y estafas a usuarios de Internet. Es lo que se conoce como “ransom-ware”, software malicioso cuyo fin es el lucro de su creador por medio de rescates. Así, podríamos mencionar casos como el del troyano PGPCoder, de mayo de 2005, que cifraba determinados archivos en el sistema infectado, dejando a continuación un mensaje solicitando dinero a los usuarios perjudicados si querían volver a restaurar sus ficheros (mediante el envío de una clave para descifrarlos). También podemos considerar dentro de este tipo de ataques la difusión de correos electrónicos con ofertas falsas o engañosas, así como la publicación de falsas noticias en foros y grupos de noticias, con distintas intenciones, como podría el caso de intentar alterar el valor de las acciones de una empresa (de hecho, ya se han producido varias de estas actuaciones en Estados Unidos y en Europa). En mayo de 2005 se informaba de varios casos de “crackers” que habían conseguido “secuestrar” archivos o páginas Web de otros usuarios, solicitando un rescate para proceder a su “liberación”. Para ello, los atacantes codificaban los documentos afectados para impedir que su propietario los pudiera abrir, solicitando a continuación un importe de 200 dólares en concepto de “rescate” para devolver al usuario el acceso a sus archivos. De hecho, los casos de chantaje y extorsión on-line se están extendiendo en países como Estados Unidos, a tenor de los últimos estudios publicados. En muchos de estos casos, los chantajistas aseguran tener información confidencial sobre la empresa y amenazan con difundirla si no reciben una determinada cantidad de dinero. Se ha podido comprobar que un porcentaje elevado de estas amenazas eran realizadas por un antiguo empleado de la propia empresa con acceso a datos internos o, incluso, alguien de la competencia. También han aumentado los casos de extorsión a particulares a través de Internet, consistentes en la publicación o amenaza de publicación de alguna información difamatoria sobre la víctima, utilizando algún medio de la Red (páginas
Web, foros, grupos de noticias…). En marzo de 2006 se anunciaba la propagación de un nuevo tipo de virus a través de Internet, capaz de bloquear el equipo informático de sus víctimas, solicitando un “rescate” de 300 dólares para revelar la clave para liberar el equipo en cuestión. (Gómez A, s.f, p.6-7)


B- Clasificación de los intrusos de las redes:
1. Hackers:
Los hackers son intrusos que se dedican a estas tareas como pasatiempo y como reto técnico: entran en los sistemas informáticos para demostrar y poner a prueba su inteligencia y conocimientos de los entresijos de Internet, pero no pretenden provocar daños en estos sistemas. Sin embargo, hay que tener en cuenta que pueden tener acceso a información confidencial, por lo que su actividad está siendo considerada como un delito en bastantes países de nuestro entorno. El perfil típico de un hacker es el de una persona joven, con amplios conocimientos de informática y de Internet (son auténticos expertos en varios lenguajes de programación, arquitectura de ordenadores, servicios y protocolos de comunicaciones, sistemas operativos, etcétera), que invierte un importante número de horas a la semana a su afición. En la actualidad muchos “hackers” defienden sus actuaciones alegando que no persiguen provocar daños en los sistemas y redes informáticas, ya que sólo pretenden mejorar y poner a prueba sus conocimientos. Sin embargo, el acceso no autorizado a un sistema informático se considera por sí mismo un delito en muchos países, puesto que aunque no se produzca ningún daño, se podría revelar información confidencial. Por otra parte, la actividad de un “hacker” podría provocar otros daños en el sistema: dejar “puertas traseras” que podrían ser aprovechadas por otros usuarios maliciosos, ralentizar su normal funcionamiento, etcétera. Además, la organización debe dedicar tiempo y recursos para detectar y recuperar los sistemas que han sido comprometidos por un “hacker”.
2. Crackers (“blackhats”):
Los crackers son individuos con interés en atacar un sistema informático para obtener beneficios de forma ilegal o, simplemente, para provocar algún daño a la organización propietaria del sistema, motivada por intereses económicos, políticos, religiosos, etcétera. A principios de los años setenta comienzan a producirse los primeros casos de delitos informáticos, provocados por empleados que conseguían acceder a los ordenadores de sus empresas para modificar sus datos: registros de ventas, nóminas…
3. Sniffers:
Los sniffers son individuos que se dedican a rastrear y tratar de recomponer y descifrar los mensajes que circulan por redes de ordenadores como Internet.
4. Phreakers:
Los phreakers son intrusos especializados en sabotear las redes telefónicas para poder realizar llamadas gratuitas. Los phreakers desarrollaron las famosas “cajas azules”, que podían emitir distintos tonos en las frecuencias utilizadas por las operadoras para la señalización interna de sus redes, cuando éstas todavía eran analógicas.
5. Spammers:
Los spammers son los responsables del envío masivo de miles de mensajes de correo electrónico no solicitados a través de redes como Internet, provocando el colapso de los servidores y la sobrecarga de los buzones de correo de los usuarios. Además, muchos de estos mensajes de correo no solicitados pueden contener código dañino (virus informáticos) o forman parte de intentos de estafa realizados a través de Internet (los famosos casos de “phishing”).
6. Piratas informáticos:
Los piratas informáticos son los individuos especializados en el pirateo de programas y contenidos digitales, infringiendo la legislación sobre propiedad intelectual.
7. Creadores de virus y programas dañinos:
Se trata de expertos informáticos que pretenden demostrar sus conocimientos construyendo virus y otros programas dañinos, que distribuyen hoy en día a través de Internet para conseguir una propagación exponencial y alcanzar así una mayor notoriedad. En estos últimos años, además, han refinado sus técnicas para desarrollar virus con una clara actividad delictiva, ya que los utilizan para obtener datos sensibles de sus víctimas (como los números de cuentas bancarias y de las tarjetas de crédito, por ejemplo) que posteriormente emplearán para cometer estafas y operaciones fraudulentas.
8. Lamers (“wannabes”): “Scriptkiddies” o “Click-kiddies”:
Los “lamers”, también conocidos por “script kiddies” o “click kiddies” , son aquellas personas que han obtenido determinados programas o herramientas para realizar ataques informáticos (descargándolos generalmente desde algún servidor de Internet) y que los utilizan sin tener conocimientos técnicos de cómo funcionan. A pesar de sus limitados conocimientos, son los responsables de la mayoría de los ataques que se producen en la actualidad, debido a la disponibilidad de abundante documentación técnica y de herramientas informáticas que se pueden descargar fácilmente de Internet, y que pueden ser utilizadas por personas sin conocimientos técnicos para lanzar distintos tipos de ataques contra redes y sistemas informáticos.
9. Amenazas del personal interno:
También debemos tener en cuenta el papel desempeñado por algunos empleados en muchos de los ataques e incidentes de seguridad informática, ya sea de forma voluntaria o involuntaria. Así, podríamos considerar el papel de los empleados que actúan como “fisgones” en la red informática de su organización, los usuarios incautos o despistados, o los empleados descontentos o desleales que pretenden causar algún daño a la organización. Por este motivo, conviene reforzar la seguridad tanto en relación con el personal interno (“insiders”) como con los usuarios externos del sistema informático (“outsiders”).
10. Ex-empleados:
Los ex-empleados pueden actuar contra su antigua empresa u organización por despecho o venganza, accediendo en algunos casos a través de cuentas de usuario que todavía no han sido canceladas en los equipos y servidores de la organización. También pueden provocar la activación de “bombas lógicas” para causar determinados daños en el sistema informático (eliminación de ficheros, envío de información confidencial a terceros…) como venganza tras un despido.
11. Intrusos remunerados:
Los intrusos remunerados son expertos informáticos contratados por un tercero para la sustracción de información confidencial, llevar a cabo sabotajes informáticos contra una determinada organización, etcétera.
(Gómez A, s.f, p.9-11)