Ciberdelincuencia, ramsonware ‘Wannacry’ y ataque masivo global…

El pasado viernes 12 de mayo, nos sorprendimos con un ciberataque a nivel mundial. Pasado ya casi tres semanas nos quedamos algo asustados de como un simple programa informático puede ser tan dañino y tan problemático para las empresas y los gobiernos a nivel del planeta.

El ciberataque  perpetrado sigue siendo una incógnita y aún hoy no se sabe con certeza quien o quienes están detrás del mismo. Lo que  si sabemos es que fue realizado con el ransomware ‘WannaCry’.

¿Qué es el ransomware? Un ransomware (del inglés ransom, ‘rescate’, y ware, por software) es un tipo de programa informático malintencionado que restringe el acceso a determinadas partes o archivos del sistema infectado, y pide un rescate a cambio de quitar esta restricción. Algunos tipos de ransomware cifran los archivos del sistema operativo inutilizando el dispositivo y coaccionando al usuario a pagar el rescate.

Se hicieron populares en Rusia y su uso creció internacionalmente en junio del 2013. La empresa McAfee señaló que solamente en el primer trimestre del 2013 había detectado más de 250 000 tipos de ransomware únicos.

Métodos de propagación.- Normalmente un ransomware se transmite como un troyano o como un gusano, infectando el sistema operativo, por ejemplo, con un archivo descargado o explotando una vulnerabilidad de software. En este punto, el ransomware se iniciará y cifrará los archivos del usuario con una determinada clave, que sólo el creador del ransomware conoce y proveerá al usuario que la reclame a cambio de un pago.

Cómo actúa.-

Este tipo de virus se camufla dentro de otro archivo o programa apetecible para el usuario que invite a hacer clic. Algunos ejemplos de estos camuflajes serían:

  • Archivos adjuntos en correos electrónicos.
  • Vídeos de páginas de dudoso origen.
  • Actualizaciones de sistemas.
  • Programas, en principio, fiables como Windows o Adobe Flash.

Luego, una vez que ha penetrado en el ordenador, el ransomware se activa y provoca el bloqueo de todo el sistema operativo, lanza el mensaje de advertencia con la amenaza y el importe del rescate que se ha de pagar para recuperar toda la información. Además, en ocasiones incluyen en la amenaza la dirección IP, la compañía proveedora de Internet y hasta una fotografía captada desde la webcam.

Tipos.-

Existen muchos tipos de ransomware entre ellos podemos encontrar a:

  • Reventon.
  • CryptoLocker.
  • CryptoLocker.F y TorrentLocker.
  • CryptoWall.
  • TeslaCrypt.
  • Mamba.
  • WannaCry.

En este caso nos vamos a para con WannaCry, culpable del ciberataque masivo.

WanaCrypt0r o también conocido como “WannaCry” es un ransomware “activo” que apareció el 12 de mayo de 2017 con origen en el arsenal estadounidense de malware Vault 7 revelado por Wikileaks pocas semanas antes, el codigo malicioso ataca una vulnerabilidad descrita en el boletín MS17-010 en sistemas Windows que no estén actualizados de una manera adecuada. Provocó el cifrado de datos en más de 75 mil ordenadores por todo el mundo afectando, entre otros, a:

  • Rusia: red semafórica, metro e incluso el Ministerio del Interior;
  • Reino Unido: gran parte de los centros hospitalarios;
  • Estados Unidos;
  • España: empresas tales como: Telefónica, BBVA, Gas Natural e Iberdrola.

El ransomware cifra los datos que, para poder recuperarse, pide que se pague una cantidad determinada, en un tiempo determinado. Si el pago no se hace en el tiempo determinado, el usuario no podrá tener acceso a los datos cifrados por la infección. WannaCry se ha ido expandiendo por Estados Unidos, China, Rusia, Italia, Taiwán, Reino Unido y España, al igual de que se señala que los sistemas operativos más vulnerables ante el ransomware son Windows Vista, Windows 7, Windows Server 2012, Windows 10 y Windows Server 2016.

Un ordenador infectado que se conecte a una red puede contagiar el ransomware a otros dispositivos conectados a la misma, pudiendo infectar a dispositivos móviles. A su inicio, WanaCrypt0r comienza a cifrar los archivos de la víctima de una manera muy rápida.

Afortunadamente en la actualidad se pudo detener su expansión gracias a un programador de Reino Unido, autor del blog MalwareTechBlog .

Pantallazo del ataque a las 6 de la tarde. MALWARE TECH

El ataque se ha cifrado a más de 74 países en las primeras horas, mientras que según otras informaciones lo valoran en más de de 180 con el trascurso del tiempo.

Occidente se ha visto muy afectado y especialmente Europa. Reino Unido, Francia, Alemania y como no también España fueron los países más afectados. En concreto en España la empresa Telefónica fue una de las más dañadas. De hecho, el responsable máximo en ciberseguridad de la empresa, Chema Alonso, tuvo que salir a dar la cara porque la serie de bulos e informaciones tergiversadas así lo requerían. Es curioso constatar que los periodistas se dedican más al sensacionalismo que  a dar información veraz y fidedigna.

 

 

En estos momentos, la situación de emergencia ya ha pasado pero no se puede bajar la guardia ante futuros ataques. De hecho el sábado la compañía aérea británica British Airways suspendió la mayoría de sus vuelos por la caída de su sistema informático. Según fuentes de la empresa no fue fruto de un ciberataque pero los retrasos y cancelaciones de vuelos han sido la tónica dominante con el justificado malestar de los clientes.

Esperamos que en el futuro los ataques sean más fáciles de controlar, pero por desgracia se saben que se van a producir. Y la persona o personas que digan lo contrario están equivocadas, es totalmente imposible evitar ciberataques, la respuesta más rápida o más lenta es lo que se puede mejorar.

Zenmap o Nmap, herramienta para hackear

Nmap es un programa de código abierto; programado en C++, Python, Lua y Java,  que sirve para efectuar rastreo de puertos escrito originalmente por Gordon Lyon (más conocido por su alias “Fyodor Vaskovich”) y cuyo desarrollo se encuentra hoy a cargo de una comunidad. Zenmap es la interfaz oficial para sistemas operativos GNU/Linux, Windows, Mac OS X, etc. Fue creado originalmente para Linux aunque actualmente es multiplataforma. Se usa para evaluar la seguridad de sistemas informáticos, así como para descubrir servicios o servidores en una red informática, para ello Nmap envía unos paquetes definidos a otros equipos y analiza sus respuestas.

Este software posee varias funciones para sondear redes de computadores, incluyendo detección de equipos, servicios y sistemas operativos. Estas funciones son extensibles mediante el uso de scripts para proveer servicios de detección avanzados, detección de vulnerabilidades y otras aplicaciones. Además, durante un escaneo, es capaz de adaptarse a las condiciones de la red incluyendo latencia y congestión de la misma.

Zenmap es la interfaz gráfica oficial de Nmap, el conocido programa de código abierto para hacer escaneo de puertos a fondo de cualquier equipo conectado. Zenmap proporciona una interfaz gráfica para ejecutar los diferentes tipos de análisis de puertos que tiene Nmap y también para mostrarlos de forma intuitiva a los usuarios menos experimentados.

Zenmap es multiplataforma, libre y gratuito, es compatible con sistemas operativos Windows, Linux, Mac OS X y BSD. Aunque Zenmap es muy útil para usuarios que comienzan en las auditorías de red por su facilidad de presentar los datos y realizar diferentes tipos de escaneos avanzados, también lo podrán usar los usuarios avanzados debido a que podremos poner por línea de comandos cualquier orden de Nmap.

Cuando se escanea un host destino, Zenmap nos permitirá guardar los datos para analizarlos en detalle más tarde. Si hacemos un escaneo básico, nos mostrará por pantalla todos los datos que ha recogido. También nos puede mostrar la topología que piensa que tenemos en nuestra red.  Hay más información de Zenmap y sus descargas en la página oficial (https://nmap.org/zenmap/).

¿Qué es Kali Linux?

Kali Linux es una distribución basada en Debian GNU/Linux diseñada principalmente para la auditoría y seguridad informática en general. Fue fundada y es mantenida por Offensive Security Ltd. Mati Aharoni y Devon Kearns, ambos pertenecientes al equipo de Offensive Security, desarrollaron la distribución a partir de la reescritura de BackTrack, que se podría denominar como la antecesora de Kali Linux.

Kali Linux trae preinstalados más de 600 programas incluyendo Nmap (un escáner de puertos), Wireshark (un sniffer), John the Ripper (un crackeador de passwords) y la suite Aircrack-ng (software para pruebas de seguridad en redes inalámbricas). Kali puede ser usado desde un Live CD, live-usb y también puede ser instalada como sistema operativo principal.

Kali es desarrollado en un entorno seguro; el equipo de Kali está compuesto por un grupo pequeño de personas de confianza quienes son los que tienen permitido modificar paquetes e interactuar con los repositorios oficiales. Todos los paquetes de Kali están firmados por cada desarrollador que lo compiló y publicó. A su vez, los encargados de mantener los repositorios también firman posteriormente los paquetes utilizando GNU Privacy Guard.

Kali se distribuye en imágenes ISO compiladas para diferentes arquitecturas (32/64 bits y ARM).

Para acceder a la página oficial debemos teclear https://www.kali.org/.

¿Cómo instalamos Kali Linux?

Permite la instalación sobre arquitecturas i386, amd64 y ARM (armel y armhf). Para la arquitectura i386, a la imagen de Kali, trae un kernel PAE por defecto, por lo que se puede ejecutar en sistemas de más de 4GB de RAM. La imagen se puede instalar desde un DVD o utilizar una distribución Live desde USB. También permite la instalación vía red y brinda imágenes para la descarga de máquinas virtuales prefabricadas con las herramientas instaladas de VMWare.

Dado que los sistemas basados en Arquitectura ARM son cada vez más frecuentes y de bajo costo, Kali Linux tiene repositorios ARM integrados con la línea principal de distribución de modo que las herramientas para ARM son actualizadas junto con el resto de la distribución. Kali está disponible para los siguientes dispositivos ARM:

  • rk3306 mk/ss808
  • Raspberry Pi
  • ODROID U2/X2
  • MK802/MK802 II
  • Samsung Chromebook
  • Samsung Galaxy Note 10.1
  • CuBox
  • Efika MX
  • BeagleBone Black

 

 

¿Es importante la realización de una auditoría informática para la empresa/organización?

Se trata de un proceso cuyo objetivo es evaluar el sistema de trabajo de una empresa, desde el punto de vista informático. Es decir, valorar si las herramientas utilizadas sacan el máximo partido a la actividad empresarial y se corresponden con los objetivos de la empresa. Se trata de un servicio que se contrata de forma puntual, aunque lo ideal es que se ponga en marcha de forma periódica y que sirve como fuente de información para mejorar los procesos de negocio.  Por lo tanto, parece razonable auditar informáticamente a la empresa, con lo que estaríamos en el comienzo de un proceso de feed-back,  que nos ayudará en la mejora del proceso de tratamiento de la información que se maneje en la organización, accediendo a ver los puntos fuertes y los débiles del mismo.

Ventajas en materia de análisis:

  • Nos da información sobre cómo funciona la empresa: Porque analiza los equipos y funciones usadas para el desarrollo de la actividad. Así podrás disponer de una visión global de las herramientas usadas en tu empresa.
  • Estudia aspectos clave como la seguridad: No solo se valoran cuestiones de rentabilidad del trabajo, sino también la protección frente a desastres o pérdida de datos.
  • Tiene en cuenta temas legales: De esta forma, una asesoría informática te ayuda a determinar si las acciones llevadas a cabo a través de estos medios cumplen con la legislación vigente.
  • Nos ayuda a valorar los riesgos TI a los que se enfrenta tu empresa, teniendo en cuenta sus labores y las herramientas utilizadas para desempeñarlas.

Ventajas en materia de asesoramiento

  • Utiliza la información analizada para dar soluciones concretas de rentabilidad en el trabajo, como adquisición de nuevos equipos, componentes o compras de licencias o instalación de software.
  • Da consejos sobre una utilización más eficiente de los recursos, lo que evita errores de gestión y por lo tanto ahorra tiempo y dinero.
  • Nos permite poner en marcha mecanismos de protección ante los riesgos derivados del uso de las nuevas tecnologías, lo que supone un valor añadido para las organizaciones.
  • Mejora las relaciones entre departamentos, al proponer sinergias en cuestiones informáticas para hacer más rentable la comunicación entre diferentes trabajadores.

Una auditoría informática no solo nos permite hacer un balance del trabajo de la compañía en este sentido, sino que nos asesora en temas de rentabilidad informática, reducción de costes, seguridad de los procesos y riesgos TI (Tecnologías de la Información) así que sin duda es una buena inversión de cara a la prevención y buen funcionamiento del negocio. Además, existe una gran variedad de empresas que se dedican a este campo, por lo que seguro que encontraremos una opción adaptada a nuestro presupuesto y que se convierta en una alternativa de confianza para cuando necesitemos información sobre la rentabilidad de las acciones de nuestro negocio.

 

Auditorías informáticas:

La Auditoría Informática es un proceso llevado a cabo por profesionales especialmente capacitados para el efecto, y que consiste en recoger, agrupar y evaluar evidencias para determinar si un Sistema de Información salvaguarda el activo empresarial, mantiene la integridad de los datos ya que esta lleva a cabo eficazmente los fines de la organización, utiliza eficientemente los recursos, cumple con las leyes y regulaciones establecidas.

Permiten detectar de Forma Sistemática el uso de los recursos y los flujos de información dentro de una Organización y determinar qué Información es crítica para el cumplimiento de su Misión y Objetivos, identificando necesidades, falsedades, costes, valor y barreras, que obstaculizan flujos de información eficientes. En si la auditoría informática tiene 2 tipos las cuales son:

AUDITORIA INTERNA: Es aquella que se hace desde dentro de la empresa; sin contratar a personas ajena, en el cual los empleados realizan esta auditoría trabajan ya sea para la empresa que fueron contratados o simplemente algún afiliado a esta.

AUDITORIA EXTERNA: Como su nombre lo dice es aquella en la cual la empresa contrata a personas de afuera para que haga la auditoría en su empresa. Auditar consiste principalmente en estudiar los mecanismos de control que están implantados en una empresa u organización, determinando si los mismos son adecuados y cumplen unos determinados objetivos o estrategias, estableciendo los cambios que se deberían realizar para la consecución de los mismos.

Los mecanismos de control pueden ser en el área de Informática son:

  • Directivos.
  • Preventivos.
  • Detección.
  • Correctivos.
  • Recuperación.
  • Contigencia.

Los mecanismos de control pueden ser directivos, preventivos, de detección, correctivos o de recuperación ante una contingencia.

Los objetivos de la auditoría Informática son:

  • El análisis de la eficiencia de los Sistemas Informáticos.
  • La verificación del cumplimiento de la Normativa en este ámbito
  • La revisión de la eficaz gestión de los recursos informáticos.

También existen otros tipos de auditoría:

  • Auditoría operacional: se refiere a la revisión de la operación de una empresa y juzga la eficiencia de la misma.
  • Auditoría administrativa: se refiere a la organización y eficiencia de la estructura del personal con la que cuenta el personal y los procesos administrativos en que actúa dicho personal.
  • Auditoría social: se refiere a la revisión del entorno social en que se ubica y desarrolla una empresa, con el fin de valorar aspectos externos e internos que interfieren en la productividad de la misma.

Sus beneficios son:

  • Mejora la imagen pública.
  • Confianza en los usuarios sobre la seguridad y control de los servicios de TI.
  • Optimiza las relaciones internas y del clima de trabajo.
  • Disminuye los costos de la mala calidad (reprocesos, rechazos, reclamos, entre otros).
  • Genera un balance de los riesgos en TI.
  • Realiza un control de la inversión en un entorno de TI, a menudo impredecible.

La auditoría informática sirve para mejorar ciertas características en la empresa como:

* Desempeño

  • Fiabilidad.
  • Eficacia.
  • Rentabilidad.
  • Seguridad.
  • Privacidad.

Generalmente se puede desarrollar en alguna o combinación de las siguientes áreas:

* Gobierno corporativo

  • Administración del Ciclo de vida de los sistemas.
  • Servicios de Entrega y Soporte.
  • Protección y Seguridad.
  • Planes de continuidad y Recuperación de desastres.

La necesidad de contar con lineamientos y herramientas estándar para el ejercicio de la auditoría informática ha promovido la creación y desarrollo de mejores prácticas como COBIT, COSO e ITIL.

Actualmente la certificación de ISACA para ser CISA Certified Information Systems Auditor es una de las más reconocidas y avaladas por los estándares internacionales ya que el proceso de selección consta de un examen inicial bastante extenso y la necesidad de mantenerse actualizado acumulando horas (puntos) para no perder la certificación.

Tipos de auditoría informática:

Dentro de la auditoría informática destacan los siguientes tipos (entre otros):

  • Auditoría de la gestión: la contratación de bienes y servicios, documentación de los programas, etc.
  • Auditoría legal del Reglamento de Protección de Datos: Cumplimiento legal de las medidas de seguridad exigidas por el Reglamento de desarrollo de la Ley Orgánica de Protección de Datos.
  • Auditoría de los datos: Clasificación de los datos, estudio de las aplicaciones y análisis de los flujogramas.
  • Auditoría de las bases de datos: Controles de acceso, de actualización, de integridad y calidad de los datos.
  • Auditoría de la seguridad: Referidos a datos e información verificando disponibilidad, integridad, confidencialidad, autenticación y no repudio.
  • Auditoría de la seguridad física: Referido a la ubicación de la organización, evitando ubicaciones de riesgo, y en algunos casos no revelando la situación física de esta. También está referida a las protecciones externas (arcos de seguridad, CCTV, vigilantes, etc.) y protecciones del entorno.
  • Auditoría de la seguridad lógica: Comprende los métodos de autenticación de los sistemas de información.
  • Auditoría de las comunicaciones. Se refiere a la auditoría de los procesos de autenticación en los sistemas de comunicación.
  • Auditoría de la seguridad en producción: Frente a errores, accidentes y fraudes.

Importancia de la Auditoría Informática ahora

La auditoría permite a través de una revisión independiente, la evaluación de actividades, funciones específicas, resultados u operaciones de una organización, con el fin de evaluar su correcta realización. Este autor hace énfasis en la revisión independiente, debido a que el auditor debe mantener independencia mental, profesional y laboral para evitar cualquier tipo de influencia en los resultados de la misma.

la técnica de la auditoría, siendo por tanto aceptables equipos multidisciplinarios formados por titulados en Ingeniería Informática e Ingeniería Técnica en Informática y licenciados en derecho especializados en el mundo de la auditoría.

Principales pruebas y herramientas para efectuar una auditoría informática:

En la realización de una auditoría informática el auditor puede realizar las siguientes pruebas:

  • Pruebas sustantivas: Verifican el grado de confiabilidad del SI del organismo. Se suelen obtener mediante observación, cálculos, muestreos, entrevistas, técnicas de examen analítico, revisiones y conciliaciones. Verifican asimismo la exactitud, integridad y validez de la información.
  • Pruebas de cumplimiento: Verifican el grado de cumplimiento de lo revelado mediante el análisis de la muestra. Proporciona evidencias de que los controles claves existen y que son aplicables efectiva y uniformemente.

Áreas a auditar en informática:

Las áreas a auditar en donde se puede realizar la auditoría informática, puede ser:

  • A toda la entidad
  • A una función
  • A una subfuncion

Se pueden aplicar los siguientes tipos de auditoría:

  • Auditoría al ciclo de vida del desarrollo de un sistema.
  • Auditoría a un sistema en operación.
  • Auditoría a controles generales (gestión).
  • Auditoría a la administración de la función informática.
  • Auditoría a microcomputadoras aisladas.
  • Auditoría a redes.

Las principales herramientas de las que dispone un auditor informático son:

  • Observación.
  • Realización de cuestionarios.
  • Entrevistas a auditados y no auditados.
  • Muestreo estadístico.
  • Flujogramas.
  • Listas de chequeo.
  • Mapas conceptuales.

Metodologías para Auditoría Informática:

La auditoría informática es una parte fundamental de la Seguridad Computacional que permite medir y controlar riesgos informáticos que pueden ser aprovechados por personas o sistemas ajenos a nuestra organización o que no deben tener acceso a nuestros datos.

En este sentido, identificar los riesgos de manera oportuna ayudará a implementar de manera preventiva, las medidas de seguridad. Para facilitar esta actividad, existen diferentes metodologías que ayudan en el proceso de revisión de riesgos informáticos. Dos de las más utilizadas son Octave y Magerit.

 

Los ataques más importantes de la historia de la informática.

    Cómo futuros Administradores de Sistemas Informáticos en Red, debemos conocer con gran exactitud los peligros a los que nos podemos enfrentar y de ese modo, planificar y ejecutar las estrategias más acordes con el tipo de ataque al que podemos estar sometidos. Existen multitud de ataques pero vamos a empezar por lo más sencillo para después aventurarnos en lo más complejo.

Definición de ataque informático:

Un ataque informático es un método por el cual un individuo, mediante un sistema informático, intenta tomar el control, desestabilizar o dañar otro sistema informático (ordenador, red privada, etc).

Un ataque informático es un intento organizado e intencionado causado por una o más personas para infringir daños o problemas a un sistema informático o red. Los ataques en grupo suelen ser hechos por bandas llamados “piratas informáticos” que suelen atacar para causar daño, por buenas intenciones, por espionaje, para ganar dinero, entre otras. Los ataques suelen pasar en corporaciones.

Un ataque informático consiste en aprovechar alguna debilidad o falla en el software, en el hardware, e incluso, en las personas que forman parte de un ambiente informático; para obtener un beneficio, por lo general de condición económica, causando un efecto negativo en la seguridad del sistema, que luego pasa directamente en los activos de la organización.

Consecuencias y gravedad del ataque:

   Los ataques informáticos tienen varias series de consecuencias o daños que un VIRUS puede causar en un sistema operativo. Hay varios tipos de daños los cuales los más notables o reconocidos son los siguientes.

1.- Daños triviales: En este tipo de daños los VIRUS que los causan son muy fáciles de remover y eliminar, por lo que se pueden quitar solo en segundos o minutos.

2.- Daños menores: En este tipo de daños se tiene que tener en cuenta el VIRUS Jerusalén. Este virus, los viernes 13, borra todos los programas que uno trate de usar después de que el virus haya infectado la memoria. Lo peor que puede suceder es que tocaría volver a instalar los programas borrados por dicho virus.

3.- Daños moderados: Este daño sucede cuando un virus formatea el DISCO DURO, y mezcla los componentes del FAT (File Allocation Table por su sigla en inglés o Tabla de Ubicación de Archivos por sus siglas en español, TUA), o también puede que sobrescriba el disco duro. Sabiendo esto se puede reinstalar el sistema operativo y usar el último backup. Esto llevara 1 hora aproximadamente.

4.- Daños mayores: Algunos VIRUS pueden pasar desapercibidos y pueden lograr que ni utilizando el backup se pueda llegar a los archivos. Un ejemplo es el virus Dark Avanger que infecta los archivos acumulando. Cuando llega a 16, el virus escoge un sector del disco duro al azar y en ella escribe: “Eddie lives… somewhere in time (Eddie vive… en algún lugar del tiempo) Cuando el usuario se percata de la existencia del virus ya será demasiado tarde pues los archivos más recientes estarán infectados con el virus.

5.- Daños severos: Los daños severos son hechos cuando los VIRUS hacen cambios mínimos y progresivos. El usuario no sabe cuando los datos son correctos o han cambiado, pues no se ve fácilmente, como en el caso del VIRUS Dark Avanger. También hay casos de virus que infectan aplicaciones que al ser descontaminadas estas aplicaciones pueden presentar problemas o perder funcionalidad.

6.- Daños ilimitados:

Algunos programas como CHEEBA, VACSINA.44.LOGIN y GP1 entre otros, obtienen la clave del administrador del sistema. En el caso de CHEEBAS, crea un nuevo usuario con el privilegio máximo poniendo el nombre del usuario y la clave. El daño lo causa la tercera persona, que ingresa al sistema y podría hacer lo que quisiera.

Hay diversos tipos de ataques informáticos. Algunos son:

  • Ataque de denegación de servicio, también llamado ataque DoS (Denial of Service), es un ataque a un sistema de computadoras o red que causa que un servicio o recurso sea inaccesible a los usuarios legítimos, normalmente provocando la pérdida de la conectividad de la red por el consumo del ancho de banda de la red de la víctima o sobrecarga de los recursos computacionales del sistema de la víctima.
  • Man in the middle, a veces abreviado MitM, es una situación donde un atacante supervisa (generalmente mediante un rastreador de puertos) una comunicación entre dos partes y falsifica los intercambios para hacerse pasar por una de ellas.
  • Ataques de REPLAY, una forma de ataque de red, en el cual una transmisión de datos válida es maliciosa o fraudulentamente repetida o retardada. Es llevada a cabo por el autor o por un adversario que intercepta la información y la retransmite, posiblemente como parte de un ataque enmascarado.
  • Ataque de día cero, ataque realizado contra un ordenador, a partir del cual se explotan ciertas vulnerabilidades, o agujeros de seguridad de algún programa o programas antes de que se conozcan las mismas, o que, una vez publicada la existencia de la vulnerabilidad, se realice el ataque antes de la publicación del parche que la solvente.

 

Tipos de ataques:

Ataques lógicos.

  • Trashing (cartoneo):

Este ocurre generalmente cuando un usuario anota su login y password en un papel y luego, cuando lo recuerda, lo arroja a la basura. Esto por más inocente que parezca es el que puede aprovechar un atacante para hacerse de una llave para entrar al sistema.

  • Monitorización:

Este tipo de ataque se realiza para observar a la victima y su sistema, con el objetivo de establecer sus vulnerabilidades y posibles formas de acceso futuro.

  • Ataques de autenticación:

Este tipo de ataque tiene como objetivo engañar al sistema de la víctima para ingresar al mismo. Generalmente este engaño se realiza tomando las sesiones ya establecidas por la víctima u obteniendo su nombre de usuario y password.

  • Denial of Service(DoS):

Los protocolos existentes actualmente fueron diseñados para ser hechos en una comunidad abierta y con una relación de confianza mutua. La realidad indica que es más fácil desorganizar el funcionamiento de un sistema que acceder al mismo; así los ataques de Negación de Servicio tienen como objetivo saturar los recursos de la víctima de forma tal que se inhabilita los servicios brindados por la misma.

  • Modificación (daño): la modificación o daño se puede dar como:

Tampering o Data Diddling: Esta categoría se refiere a la modificación desautorizada de los datos o el SOFTWARE INSTALADO en el sistema víctima (incluyendo borrado de archivos). Borrado de Huellas: El borrado de huellas es una de las tareas más importantes que debe realizar el intruso después de ingresar en un sistema, ya que, si se detecta su ingreso, el administrador buscará como conseguir “tapar el hueco” de seguridad, evitar ataques futuros e incluso rastrear al atacante.

Otros ataques:

  • Ataque de fuerza bruta. No es necesariamente un procedimiento que se deba realizar por procesos informáticos, aunque este sistema ahorraría tiempos, energías y esfuerzos. El sistema de ataque por fuerza bruta, trata de recuperar una clave probando todas las combinaciones posibles hasta encontrar aquella que se busca, y que permite el acceso al sistema, programa o archivo en estudio.

 

Los 10 ataques más importantes en la historia:

1) El gran hack de EE.UU.: 160 millones de usuarios.

No tiene nombre oficial porque no afectó a una sola compañía, sino a una larga lista de ellas que incluía el índice bursátil NASDAQ, 7-Eleven, JC. Penney, JetBlue, Dow Jones o Global Payment entre otras. El ataque se prolongó durante siete años desde 2005, y robó los datos de tarjetas bancarias de 160 millones de clientes. Cinco personas de origen ruso fueron acusadas y condenadas por el caso.

2) Adobe: 152 milllones de usuarios.

En octubre de 2013, Adobe reconoció haber sufrido un robo de cuentas bancarias a gran escala. La compañía comenzó dando la cifra de algo menos de tres millones de usuarios. En apenas un mes se descubrió que el ataque afectaba a 152 millones de usuarios registrados según Naked Security. Es posible que nunca se sepa la cifra exacta, porque Adobe sigue manteniendo que solo fueron 38 millones.

3) eBay: 145 millones de usuarios.

Es el último gran ataque. El asalto a la base de datos de usuarios de la página de comercio online ha obligado a cambiar sus contraseñas a 145 millones de personas. Aún no se ha podido calcular el volumen de la información filtrada.

4) Heartland: 130 millones de usuarios.

El hacker Albert González fue acusado de coordinar el ataque que se llevó datos de 130 millones de tarjetas de débito y crédito de la multinacional de pagos Heartland Payment Systems. Sucedió en 2008, pero no se hizo público hasta mayo de 2009.

5) TJX: 94 millones de usuarios.

En enero de 2007, responsables del grupo TJX hicieron público un ataque informático que puso en peligro los datos bancarios de 94 millones de clientes entre sus cadenas de tiendas Marshals, Maxx y T.J.

6) AOL: 92 millones de usuarios.

Este ataque comenzó desde dentro en 2004. Un ingeniero de la compañía que había sido despedido utilizó sus conocimientos de la empresa para infiltrarse en la red interna de AOL, y robar la lista con los correos de sus 92 millones de usuarios. Después vendió la lista online a un grupo de spammers.

7) Sony PlayStation Network: 77 millones de usuarios.

El ataque que robó información de las cuentas de 77 millones de usuarios de los servicios PlayStation en todo el mundo supuso un duro golpe para Sony, entre otras cosas porque tardó una semana en reconocer el problema. Tuvo que compensar a los usuarios y recibió varias sanciones en países como Reino Unido.

8) Veteranos de EE.UU.: 76 millones de usuarios.

Un disco duro que se envió a un servicio técnico en 2009 fue el punto por el que se robaron 76 millones de fichas personales de veteranos de guerra estadounidenses, incluyendo sus números de la seguridad social.

9) Target: 70 millones de usuarios.

Aunque no tan grande en volumen como los anteriores, el ataque a la cadena de tiendas estadounidense Target fue especialmente peligroso porque lo que los hackers se llevaron fueron números de tarjeta bancaria y claves de 40 millones de personas que utilizaron sus tarjetas en alguna tienda Target a finales de 2013. Otros 30 millones de usuarios vieron vulnerados datos personales como el teléfono o la dirección de email.

10) Evernote: 50 millones de usuarios.

Este es de los pocos casos en los que la compañía reaccionó tan rápido que no hubo que lamentar daños. En marzo de 2013, Evernote envió una notificación a sus usuarios para que cambiaran sus contraseñas ante indicios de que su red había sido hackeada. No se reportó robó de información personal. La medida fue cautelar.

A partir de aquí, la lista se engrosa con cientos de casos en los que ciberdelincuentes se han hecho con información de cuentas. A veces los afectados se cuentan por millones, otras veces por cientos de miles. Blizzard, Ubisoft, AT&T, Facebook o Apple son solo algunas de las empresas entre la larga lista de compañías cuyos servicios han caído alguna vez víctima de los hackers.

John the Ripper, programa para descifrar contraseñas:

John the Ripper es un programa de criptografía que aplica fuerza bruta para descifrar contraseñas. Es capaz de romper varios algoritmos de cifrado o hash, como DES, SHA-1 y otros.

Es una herramienta de seguridad muy popular, ya que permite a los administradores de sistemas comprobar que las contraseñas de los usuarios son suficientemente buenas.

John the Ripper es capaz de autodetectar el tipo de cifrado de entre muchos disponibles, y se puede personalizar su algoritmo de prueba de contraseñas. Eso ha hecho que sea uno de los más usados en este campo.

Información general:

  • Última versión estable 1.7.9 (Unix), 1.7.0.1 (Windows/DOS) (info).
  • 23 de noviembre de 2011 (5 años, 3 meses y 24 días).
  • Género Password cracking.
  • Sistema operativo Multiplataforma.
  • Licencia GNU GPL.

 

Algoritmos que entiende:

  • Los que se han usado comúnmente en Unix (con la llamada al sistema crypt): DES, MD5, Blowfish.
  • Kerberos AFS.
  • Hash LM (Lan Manager), el sistema usado en Windows NT/2000/XP/2003.

Mediante módulos externos, se puede hacer que también trabaje con:

  • MD4.
  • LDAP.

y otros.

 

Características:

  • Optimizado para muchos modelos de procesadores.
  • Funciona en muchas arquitecturas y sistemas operativos.
  • Ataques de diccionario y por fuerza bruta.
  • Muy personalizable (es software libre).
  • Permite definir el rango de letras que se usará para construir las palabras y las longitudes.
  • Permite parar el proceso y continuarlo más adelante.
  • Permite incluir reglas en el diccionario para decir cómo han de hacerse las variaciones tipográficas.
  • Se puede automatizar; por ejemplo, ponerlo en cron. En el sistema operativo Unix, cron es un administrador regular de procesos en segundo plano (demonio) que ejecuta procesos o guiones a intervalos regulares (por ejemplo, cada minuto, día, semana o mes). Los procesos que deben ejecutarse y la hora en la que deben hacerlo se especifican en el fichero crontab. El nombre cron viene del griego chronos (χρόνος) que significa “tiempo”.

    Cron se podría definir como el “equivalente” a Tareas Programadas de Windows.

 

Funcionamiento:

John the Ripper usa un ataque por diccionario: tiene un diccionario con palabras, que pueden ser contraseñas típicas, y las va probando todas. Para cada palabra, la cifra y la compara con el hash a descifrar. Si coinciden, es que la palabra era la correcta.

Esto funciona bien porque la mayor parte de las contraseñas que usa la gente son palabras de diccionario. Pero John the Ripper también prueba con variaciones de estas palabras: les añade números, signos, mayúsculas y minúsculas, cambia letras, combina palabras, etc.

Además ofrece el típico sistema de fuerza bruta en el que se prueban todas las combinaciones posibles, sean palabras o no. Éste es el sistema más lento, y usado sólo en casos concretos, dado que los sistemas anteriores (el ataque por diccionario) ya permiten descubrir muy rápidamente las contraseñas débiles.

Ética y uso del programa:

Aunque esté catalogada como herramienta de cracking, John the Ripper es una utilidad para administradores muy sencilla y que no comporta peligro para el usuario si la usa de forma adecuada.

No pasa nada malo por ejecutar una herramienta de este tipo en un ordenador personal. Sin embargo, en ordenadores multiusuario a veces se prohíbe su uso, ya que al hacer fuerza bruta, es fácil que consuma todo el tiempo de CPU.

Los administradores de sistemas lo pueden emplear para evitar que sus usuarios pongan contraseñas demasiado fáciles, pero lo habitual es hacerlo mediante un programa automático, que sólo se interese por si la clave se puede adivinar fácilmente o no. En ningún caso es necesario que el administrador conozca la clave exacta; sólo ha de saber si es buena o no.

En un sistema Unix, algunos usuarios malintencionados pueden intentar usar este programa para obtener información de acceso. Para evitarlo, basta con asegurarse de que las contraseñas cifradas no estén visibles en el fichero /etc/passwd, sino en el fichero /etc/shadow, que ha de tener desactivado el permiso de lectura para los usuarios normales. Esta es la configuración predeterminada en los sistemas operativos de tipo Unix (BSD, GNU/Linux, Mac OS X, etc.).

Blog sobre nuevas tecnologías para novatos