apuntes

Introducción

Introducción al curso de fundamentos de ciberseguridad.

Navegación de los Apuntes (Haz clic para desplegar)
Índice de contenidos (Haz clic para desplegar)
  1. Amenazas
  2. Engaño
  3. Ciberataques
  4. Ciberataques Móviles e Inalámbricos
  5. Seguridad en la web

1. Amenazas

En el panorama digital actual, las organizaciones se enfrentan a un número de ciberamenazas en constante crecimiento. Para diseñar e implementar una estrategia de defensa sólida, el primer paso fundamental es identificar las vulnerabilidades existentes dentro de los dominios de amenazas de la empresa.

[!TIP] Concepto clave: Un dominio de amenaza es cualquier área, entorno o activo bajo el control o protección de la organización que un atacante puede explotar para comprometer un sistema y acceder a él.

Los atacantes buscan constantemente brechas en estos dominios. Las intrusiones y vectores de ataque más comunes se pueden clasificar a través de los siguientes medios:


1.1 Tipos

Agrupar las amenazas en categorías permite a las empresas evaluar qué tan probable es sufrir un ataque y calcular el impacto económico que causaría. De esta forma, se pueden priorizar los esfuerzos y el presupuesto en las áreas más críticas.

Los peligros a los que se enfrenta una organización se clasifican en las siguientes categorías:


1.2 Origen de las Amenazas: Internas vs. Externas

Las amenazas a la seguridad informática también se pueden clasificar según el entorno en el que se originan. Esta distinción ayuda a entender el perímetro de defensa que se debe reforzar:


Diagrama de Origen de Amenazas

graph TD
    A[Clasificación por Origen] --> B(Amenazas Internas)
    A --> C(Amenazas Externas)

    B --> B1[Personal Interno]
    B --> B2[Socios y Proveedores]

    B1 --> B1a(Sabotaje o Empleados descontentos)
    B1 --> B1b(Cuentas corporativas robadas)
    B2 --> B2a(Filtración por descuido de partners)

    C --> C1[Vulnerabilidades de Red]
    C --> C2[Ingeniería Social]

    C1 --> C1a(Fallos en sistemas expuestos a Internet)
    C2 --> C2a(Engaños y Phishing a empleados)

    %% Estilos de la Tríada Cromática (Fondos suaves, texto oscuro legible)
    %% Nodo Principal: Azul Acero
    style A fill:#E0F2FE,stroke:#0284C7,stroke-width:2px,color:#000
    
    %% Ramas Internas: Terracota / Salmón Suave
    style B fill:#FFE4E6,stroke:#E11D48,stroke-width:2px,color:#000
    style B1 fill:#FFE4E6,stroke:#E11D48,stroke-width:1px,color:#000
    style B2 fill:#FFE4E6,stroke:#E11D48,stroke-width:1px,color:#000
    style B1a fill:#FFF1F2,stroke:#FDA4AF,stroke-width:1px,color:#000
    style B1b fill:#FFF1F2,stroke:#FDA4AF,stroke-width:1px,color:#000
    style B2a fill:#FFF1F2,stroke:#FDA4AF,stroke-width:1px,color:#000

    %% Ramas Externas: Verde Oliva / Menta Suave
    style C fill:#DCFCE7,stroke:#16A34A,stroke-width:2px,color:#000
    style C1 fill:#DCFCE7,stroke:#16A34A,stroke-width:1px,color:#000
    style C2 fill:#DCFCE7,stroke:#16A34A,stroke-width:1px,color:#000
    style C1a fill:#F0FDF4,stroke:#86EFAC,stroke-width:1px,color:#000
    style C2a fill:#F0FDF4,stroke:#86EFAC,stroke-width:1px,color:#000

1.3 El Dominio de Usuario y sus Riesgos

El Dominio de Usuario abarca a cualquier persona que tenga autorización para interactuar con los sistemas de información de una organización. Esto incluye a los empleados directos, personal contratado, clientes y socios comerciales (partners).

En el ámbito de la ciberseguridad, los usuarios son considerados universalmente como el eslabón más débil de la cadena de defensa. Al estar expuestos a engaños o cometer errores involuntarios, representan una de las mayores amenazas para mantener a salvo la Tríada CIA:

Para entender cómo se vulnera este dominio en el día a día, a continuación se detallan las principales debilidades y malas prácticas asociadas a los usuarios:


1.4 A los dispositivos

Riesgos Operativos y de Usuario

Amenazas de Software y Malware

Vulnerabilidad Tecnológica


1.5 Entorno de Red Local (LAN) y sus Riesgos

[!NOTE] Definición de LAN: Infraestructura que interconecta dispositivos mediante medios cableados o inalámbricos dentro de un área geográfica limitada (como oficinas o edificios).

Seguridad y Control de Acceso

La red local actúa como el puente principal entre los usuarios y los recursos críticos del sistema. Para mitigar los riesgos en este entorno, la estrategia de defensa debe priorizar:


1.6 Amenazas en Infraestructuras de Nube Privada

[!NOTE] Nube Privada: Entorno de almacenamiento, servidores y recursos informáticos dedicados en exclusiva a una organización, accesibles para sus miembros a través de redes seguras o Internet.

[!WARNING] Aunque suele considerarse un entorno más controlado que la nube pública, la nube privada sigue expuesta a vectores de ataque críticos que comprometen su seguridad.

Riesgos y Amenazas Principales:


1.7 Amenazas e Infraestructura de Nube Pública

[!NOTE] Nube Pública: Servicios e infraestructuras informáticas propiedad de un proveedor externo (como AWS, Azure o GCP) que se distribuyen a través de Internet y cuyos recursos físicos se comparten de forma lógica entre múltiples organizaciones (multitenencia).

A diferencia de la nube privada, opera bajo un modelo de responsabilidad compartida (el proveedor protege la infraestructura global y el hardware; el cliente protege sus propios datos, accesos y configuraciones). Se divide en tres modelos:

Modelos de Servicio y sus Vectores de Riesgo:

Amenazas Globales de la Nube Pública:


1.8 Amenazas a la Seguridad Física y de las Instalaciones

[!WARNING] La seguridad física de la infraestructura de TI suele pasarse por alto en los planes de ciberseguridad. Sin embargo, si un atacante logra acceso físico directo a los equipos, cualquier control de seguridad lógico o digital queda completamente anulado.

Vectores de Riesgo e Intrusión Física:


1.9 Amenazas al Dominio de Aplicaciones

[!NOTE] Definición de Dominio de Aplicación: Infraestructura que engloba todos los sistemas críticos, el software corporativo y los repositorios de datos de la organización. Actualmente, abarca tanto entornos locales (On-Premise) como servicios migrados a la nube pública (como plataformas de correo electrónico, herramientas de monitoreo de seguridad y sistemas de gestión de bases de datos).

Vectores de Riesgo Técnicos:


1.10 Complejidad y Evolución de las Ciberamenazas

[!NOTE] Evolución del Riesgo: Las vulnerabilidades de software actuales se fundamentan en tres pilares: errores de programación (bugs), fallos de diseño en protocolos y configuraciones erróneas del sistema. Los ciberdelincuentes aprovechan estas brechas mediante métodos cada vez más avanzados y sofisticados.

Esta sofisticación ha dado lugar a amenazas de alta complejidad que rompen los esquemas de la seguridad tradicional:

1. Amenaza Persistente Avanzada (APT - Advanced Persistent Threat)

2. Ataques de Algoritmo (Algorithmic Attacks)


3. Flujo Logístico de un Ataque Complejo

Para que una amenaza sofisticada (como una APT) cumpla sus objetivos utilizando estos vectores, los atacantes ejecutan de forma metódica el siguiente ciclo de vida dentro de la infraestructura de red:


1.11 Malware Avanzado: Puertas Traseras (Backdoors) y Rootkits

[!WARNING] Los ciberdelincuentes utilizan software malicioso especializado no solo para infectar un sistema, sino para romper los mecanismos de autenticación estándar, evadir las herramientas de auditoría forense y garantizar su acceso permanente a la infraestructura.

1. Puertas Traseras (Backdoors) y Herramientas de Administración Remota (RAT)

2. Rootkits


1.12 Inteligencia contra Amenazas y Fuentes de Investigación

[!NOTE] Inteligencia contra Amenazas (Threat Intelligence): Conjunto de datos e información analizada sobre ataques, vulnerabilidades y vectores de explotación actuales que permite a las organizaciones anticiparse a los incidentes y reforzar sus sistemas de defensa.

Dentro del ecosistema global de ciberseguridad, existen fuentes estandarizadas de investigación, bases de datos y canales de intercambio esenciales para el análisis preventivo:

1. Diccionario de Vulnerabilidades y Exposiciones Comunes (CVE - Common Vulnerabilities and Exposures)

2. Monitorización de la Red Oscura (Dark Web)

3. Indicadores de Compromiso o Riesgo (IoC - Indicators of Compromise)

4. Uso Compartido de Indicadores Automatizados (AIS - Automated Indicator Sharing)


2. Engaño

2.1 Ingeniería social

La ingeniería social es un método de ataque que busca manipular a las personas para que realicen acciones involuntarias o divulguen información confidencial. A diferencia de los ciberataques convencionales, este enfoque no explota vulnerabilidades en el software o el hardware, sino las debilidades de la psicología humana.

Mecanismos de Manipulación

Los atacantes diseñan sus vectores de ataque aprovechando rasgos intrínsecos del comportamiento humano:


Tipos Comunes de Ataques

A continuación se analizan las variantes más extendidas de este tipo de amenazas:

Fraude de Identidad (Identity Theft)

Consiste en la obtención y el uso no autorizado de los datos personales de un individuo para suplantar su identidad. El objetivo suele ser adquirir bienes, servicios o beneficios financieros mediante el engaño.

[!NOTE] Escenario Típico: Un atacante recopila información personal de la víctima (nombres, documentos de identidad, fechas de nacimiento). Posteriormente, utiliza estos registros para tramitar productos financieros o créditos bancarios a nombre del afectado.

Quid pro quo

Consiste en la solicitud de datos a cambio de un beneficio. Por ejemplo, esto se usa mucho en ataques de phishing, donde se piden datos personales a cambio de unas vacaciones gratuitas.

[!NOTE] Escenario Típico: Un atacante envía un correo de phishing a un empleado indicando que si facilita sus credenciales obtendrá unas vacaciones gratis.

Pretexto (Pretexting)

Consiste en la creación de un escenario falso o una historia creíble (el pretexto) para engañar a una víctima. El atacante suele suplantar una identidad de autoridad o confianza para manipular a la persona y lograr que revele información confidencial o datos privilegiados.

[!NOTE] Escenario Típico: Un atacante llama a un empleado haciéndose pasar por un técnico de soporte de TI. Afirma que hay un fallo en el sistema y le pide sus credenciales de acceso para “confirmar su identidad” y solucionar el problema.


2.1.1 Tácticas de ingeniería social

Algunas de las tácticas de ingeniería social son:

  1. Autoridad: Aprovechan la autoridad de algún jefe o empleado con rango alto para solicitar información a sus subordinados, quienes obedecen por respeto o temor a represalias.
  2. Urgencia: Crean una falsa sensación de prisa o escasez de tiempo para que la víctima actúe rápido y tome decisiones impulsivas sin verificar la fuente.
  3. Intimidación: Utilizan amenazas o un tono agresivo (como consecuencias legales o despido) para asustar a la víctima y obligarla a colaborar.
  4. Consenso o prueba social: Engañan a la víctima haciéndole creer que sus compañeros o personas de confianza ya han realizado la acción solicitada.
  5. Escasez: Ofrecen un beneficio o advierten de la pérdida de un servicio por tiempo muy limitado, apelando al miedo a quedarse fuera (FOMO).
  6. Familiaridad o simpatía: El atacante busca agradar a la víctima, entablar una conversación amigable o encontrar intereses comunes para ganarse su confianza antes del fraude.
  7. Confianza: Se aprovechan de la buena voluntad inherente de las personas y de su deseo natural de ayudar a los demás ante un problema.

2.1.2 Métodos y Ataques de Engaño Digital

Estos ataques representan los métodos y escenarios lógicos donde se aplican las tácticas de manipulación psicológica descritas anteriormente:


2.1.3 Ataques Físicos de Ingeniería Social

A diferencia de las amenazas digitales, estas técnicas se basan en la observación directa, la recolección de elementos materiales o el acceso no autorizado al entorno físico de la víctima.

Shoulder Surfing (Mirar por encima del hombro)

Consiste en observar físicamente a una persona mientras introduce información confidencial en un dispositivo. El atacante puede mirar de forma directa o utilizar herramientas de asistencia como binoculares, lentes telescópicas o cámaras de seguridad comprometidas.

Dumpster Diving (Búsqueda en la basura)

Consiste en revisar los contenedores de basura, reciclaje o desechos de una organización o individuo con el fin de encontrar documentos impresos o soportes físicos que contengan datos valiosos.

Tailgating (Seguimiento cercano)

Consiste en seguir muy de cerca a una persona autorizada que acaba de abrir una puerta blindada o un punto de acceso restringido, logrando colarse justo antes de que el mecanismo de seguridad cierre el paso por completo. En este caso, la persona legítima no es consciente de que está facilitando el acceso al intruso.

Piggybacking (Acceso consentido por cortesía)

A diferencia del tailgating, en esta técnica la persona autorizada sí sabe que está dejando pasar al atacante a la zona restringida. El intruso logra este acceso manipulando las normas sociales de cortesía, educación o compañerismo para que el empleado colabore voluntariamente sin verificar sus credenciales.


2.1.4 Estrategias de Mitigación y Cultura de Seguridad Colectiva

Las organizaciones deben fortalecer su factor humano mediante la concienciación continua sobre las tácticas de manipulación psicológica. Para prevenir incidentes de ingeniería social, se deben implementar y promover las siguientes pautas operativas entre todos los miembros del equipo:

[!IMPORTANT] Gestión de la Presión Psicológica: Los ataques exitosos suelen explotar la prisa o la intimidación. Ante cualquier solicitud inusual que genere urgencia o coacción por parte de un tercero, el empleado debe detener la comunicación de inmediato y verificar la identidad del emisor a través de un canal secundario oficial.

3 Ciberataques

[!IMPORTANT] Concepto clave: Los atacantes explotan vulnerabilidades mediante software diseñado específicamente para alterar, dañar o acceder sin autorización a sistemas informáticos.


3.1 Introducción al Software Malicioso (Malware)

El malware (software malicioso) es cualquier pieza de código desarrollada con el objetivo de comprometer la seguridad de un sistema.

Objetivos principales del malware

[!NOTE] El malware no siempre destruye el sistema; muchas veces busca pasar desapercibido para extraer datos de forma masiva y silenciosa.


Variantes Comunes de Malware

A continuación, se analizan en profundidad las tres categorías clásicas de software malicioso, diferenciadas principalmente por su método de ejecución y propagación:

1. Virus Informático

Es un tipo de código malicioso que no puede ejecutarse ni propagarse por sí solo. Necesita obligatoriamente insertarse dentro de un archivo anfitrión legítimo (como un ejecutable .exe o un documento de Word con macros) y requiere que un usuario interactúe con él para activarse.

[!NOTE] El factor humano: La característica técnica más importante de un virus es su dependencia del usuario. Si nadie hace doble clic en el archivo infectado, el virus permanece inactivo.


2. Gusano Informático (Worm)

A diferencia del virus, el gusano es un programa completamente autónomo. No necesita infectar otros archivos ni requiere la intervención de ninguna persona para activarse o propagarse.

[!CAUTION] Peligro de red: Los gusanos son extremadamente peligrosos en entornos corporativos, ya que infectar un solo equipo expuesto en la red local puede comprometer a miles de servidores en cuestión de minutos.


3. Troyano (Trojan Horse)

Es un software dañino que se camufla como un programa legítimo, útil o inofensivo (un instalador de Office pirata, un videojuego gratuito, una actualización del sistema). Su objetivo es engañar al usuario para que rompa sus propias barreras de seguridad.

[!TIP] Diferencia clave: El troyano destaca por su faceta de engaño táctico (Ingeniería Social). Técnico y conceptualmente, un troyano puro no se autorreplica ni infecta otros archivos; depende de que nuevas víctimas lo descarguen voluntariamente.


[!WARNING] Nunca ejecutes código o descargues binarios de fuentes no verificadas durante las prácticas de este módulo.

3.2 Bombas Lógicas

Una bomba lógica es un componente de código malicioso que se inserta deliberadamente en un software y permanece en un estado completamente inactivo hasta que se cumple una condición o “activador” específico.

Mecanismos de Activación (Triggers)

El atacante programa el código para que se ejecute solo cuando el sistema registra un evento concreto, como por ejemplo:

Impacto y Alcance del Daño

Una vez que se produce el evento activador, la bomba lógica ejecuta su carga útil, la cual puede causar estragos en diferentes niveles de la infraestructura:

  1. Sabotaje de Información: Modificación, alteración o corrupción silenciosa de registros en bases de datos.
  2. Destrucción de Software: Eliminación masiva de archivos críticos, sistemas operativos o aplicaciones de producción.
  3. Destrucción Física de Hardware: Las variantes modernas están diseñadas para manipular los controladores físicos (firmware) de los dispositivos. Al alterar los parámetros de los ventiladores de refrigeración, forzar la unidad central de procesamiento (CPU), sobrecargar la memoria, los discos duros o las fuentes de alimentación, el atacante puede provocar un sobrecalentamiento extremo que destruye físicamente los componentes del servidor.

[!CAUTION] El peligro de la inactividad: Debido a que la bomba lógica no realiza ninguna acción sospechosa hasta que se activa, suele evadir los sistemas de detección tradicionales y los análisis de firmas de los antivirus durante largos periodos de tiempo.


3.3 Ransomware

El ransomware es una categoría de malware diseñada específicamente para restringir el acceso al sistema informático o secuestrar los datos de la víctima con el objetivo de exigir un pago económico (rescate) a cambio de la restitución del acceso.

Métodos de Operación Técnicos

Existen dos variantes principales según la forma en que restringen el entorno:

Vectores de Infección Comunes

[!IMPORTANT] La paradoja del rescate: El pago generalmente se exige a través de criptomonedas u otros sistemas de pago difíciles de rastrear. Sin embargo, desde una perspectiva de seguridad, nunca se recomienda pagar el rescate: no existe ninguna garantía técnica ni legal de que el ciberdelincuente proporcione la clave de descifrado válida, y muchas víctimas se quedan sin su dinero y sin sus datos.

[!TIP] Estrategia de mitigación: La defensa más efectiva contra el ransomware no es el descifrado posterior, sino una política estricta de copias de seguridad (Backups) aisladas de la red principal, conocidas como copias de seguridad offline o inmutables.

3.4 Ataques por Denegación de Servicio (DoS)

Un ataque de Denegación de Servicio (DoS, por sus siglas en inglés Denial of Service) es un vector de agresión dirigido contra la infraestructura de red cuyo objetivo principal es interrumpir la disponibilidad de los servicios, impidiendo que los usuarios legítimos accedan a los recursos del sistema.

Características y Alcance del Riesgo


Tipos Principales de Ataques DoS

La plataforma divide estas agresiones en dos variantes principales según su metodología de ejecución:

1. Inundación por Cantidad Abrumadora de Tráfico (Volumétrico)

Consiste en la inyección masiva de paquetes de datos dirigidos hacia una red, un host o una aplicación específica a una velocidad y volumen superiores a la capacidad de procesamiento del hardware de destino.

[!WARNING] Consecuencias colaterales: Cuando un dispositivo de red colapsa por volumen de tráfico, puede entrar en un estado de “fallo abierto” o reiniciarse continuamente, lo que a menudo es aprovechado por los atacantes para eludir otras medidas de seguridad perimetral.

2. Inyección de Paquetes con Formato Malicioso (Ataques de Protocolo o de Capa de Aplicación)

Esta variante no busca saturar el canal por volumen de datos, sino explotar la lógica interna del sistema receptor mediante el envío de estructuras de datos anómalas que el sistema operativo o la aplicación de destino no saben cómo interpretar.

[!IMPORTANT] Diferencia táctica: Mientras que los ataques volumétricos requieren un gran ancho de banda para inundar la red, los ataques por paquetes maliciosos formateados pueden derribar un servidor crítico enviando una cantidad mínima de paquetes, siempre y cuando estén diseñados para explotar una vulnerabilidad de software específica en el receptor.


3.5 Ataques por Denegación de Servicio Distribuida (DDoS)

Un ataque de Denegación de Servicio Distribuida (DDoS, por sus siglas en inglés Distributed Denial of Service) representa la evolución a gran escala del ataque DoS tradicional. La diferencia técnica fundamental radica en que la agresión no proviene de un único origen, sino de una infraestructura masiva de múltiples sistemas distribuidos geográficamente que apuntan de forma simultánea hacia un mismo objetivo.

Mecanismo de Funcionamiento y Redes Zombi (Botnets)

Para ejecutar un ataque DDoS, los ciberdelincuentes no utilizan sus propios equipos directamente, sino que despliegan una arquitectura jerárquica basada en redes de ordenadores comprometidos:

  1. Infección Inicial: El atacante infecta miles o millones de dispositivos conectados a Internet (servidores, ordenadores domésticos, dispositivos IoT) utilizando malware como troyanos o gusanos.
  2. Creación de la Botnet: Estos dispositivos infectados se convierten en “zombis” o bots, y pasan a formar parte de una red controlada de forma centralizada llamada Botnet.
  3. Servidor de Comando y Control (C2): El atacante (conocido como Botmaster) envía una única orden desde su servidor C2 a toda la Botnet para que inicien las peticiones simultáneas hacia la IP de la víctima.

Tipos de Impacto en la Infraestructura Distribuida

Al multiplicar las fuentes del ataque, las dos variantes de DoS vistas anteriormente (volumétricos y paquetes maliciosos) se vuelven exponencialmente más peligrosas:

[!CAUTION] La dificultad de la mitigación: Defenderse de un ataque DDoS es extremadamente complejo porque el tráfico malicioso llega camuflado entremezclado con peticiones legítimas de usuarios reales de todo el mundo. El bloqueo por IP única es totalmente ineficaz en estos escenarios, requiriendo el uso de sistemas de limpieza de tráfico (scrubbing centers) a nivel de red global.

[!NOTE] Evolución del vector de ataque: En entornos empresariales modernos, los ataques DDoS no siempre buscan destruir un sistema de forma permanente; a menudo se utilizan como una cortina de humo para saturar al equipo de respuesta a incidentes (SOC) mientras los atacantes realizan una exfiltración silenciosa de datos por otra vía.


3.6 Ataques al Sistema de Nombres de Dominio (DNS) y Servicios de Red

Para que una red funcione de manera correcta y eficiente, requiere de múltiples servicios técnicos esenciales e interconectados, tales como el enrutamiento (routing), el direccionamiento IP y la resolución de nombres de dominio. Debido a su naturaleza crítica para la infraestructura global, estos servicios se convierten en los objetivos prioritarios para los ciberdelincuentes.

Reputación del Dominio

El Sistema de Nombres de Dominio (DNS) actúa como el directorio telefónico de Internet, traduciendo nombres de dominio legibles para los humanos (como www.cisco.com) en direcciones IP numéricas que las computadoras pueden procesar para establecer conexiones. Cuando un servidor DNS local no dispone de un registro en su base de datos, inicia una cadena de consultas jerárquicas hacia otros servidores DNS externos.

[!TIP] Defensa proactiva: La monitorización de la reputación no solo protege a los usuarios internos de descargar malware, sino que evita que los servidores de la propia empresa sean incluidos en listas negras globales (blacklists) si llegan a ser comprometidos.

Falsificación de DNS e Intoxicación por Caché (DNS Spoofing / Cache Poisoning)

La falsificación de DNS, popularmente conocida como envenenamiento de caché, es un vector de ataque avanzado que consiste en introducir registros falsificados dentro de la memoria caché de un servidor de resolución DNS o del sistema operativo local.

[!CAUTION] Impacto masivo: El peligro de la intoxicación por caché es su efecto en cadena. Si un servidor DNS de un proveedor de Internet (ISP) es envenenado, miles de usuarios legítimos empezarán a navegar en servidores maliciosos sin recibir alertas de error en sus navegadores.

Secuestro de Dominio (Domain Hijacking)

El secuestro de dominio ocurre cuando un atacante logra tomar el control total y no autorizado de la información de registro y administración del DNS de una organización legítima.

[!WARNING] Pérdida de control: A diferencia de la intoxicación por caché (que es temporal), el secuestro de dominio altera el registro de propiedad en la entidad raíz. Recuperar legal y técnicamente un dominio secuestrado puede tomar semanas, durante las cuales el atacante tiene control total del tráfico web y del correo electrónico de la empresa.

Localizador Uniforme de Recursos (URL)

Un Localizador Uniforme de Recursos (URL, por sus siglas en inglés Uniform Resource Locator) es una dirección estructurada estándar que se utiliza para identificar y localizar un recurso específico (como una página web, una imagen o un archivo) en la red.

[!NOTE] Sección pendiente de completar con el texto restante del curso sobre cómo los atacantes manipulan u ocultan las URLs para realizar ataques.


3.7 Ataques de Capa 2 (Enlace de Datos)

La Capa 2 corresponde a la capa de Enlace de Datos dentro del modelo de referencia de Interconexión de Sistemas Abiertos (OSI). Esta capa es la responsable de la transferencia física de tramas de datos entre dispositivos que comparten un mismo medio de red local.

Fundamentos de Operación en Capa 2

[!CAUTION] Vulnerabilidad de diseño: Los protocolos de la Capa 2 (como ARP) fueron diseñados originalmente en entornos de total confianza, careciendo de mecanismos nativos de autenticación. Los atacantes explotan esta ausencia de seguridad para manipular el tráfico local.


Variantes de Suplantación de Identidad (Spoofing)

El spoofing es una técnica de ataque que consiste en falsificar datos de identificación para engañar a un sistema aprovechando relaciones de confianza preexistentes. En la Capa 2 y adyacentes destacan tres variantes:

[!IMPORTANT] Ataque de Hombre en el Medio (Man-in-the-Middle - MitM): La combinación de estas técnicas de suplantación permite al atacante desviar de forma transparente todo el flujo de datos de la red hacia su propio equipo antes de reenviarlo al destino real (el router o la nube). De este modo, puede interceptar, registrar o modificar información confidencial sin levantar sospechas.


Saturación de Direcciones MAC (MAC Flooding)

Los switches de red interconectan dispositivos locales mediante la conmutación de paquetes. Para saber a qué puerto físico enviar cada trama, el switch almacena de forma dinámica las direcciones MAC detectadas en una base de datos interna conocida como Tabla CAM (Content Addressable Memory).


3.8 Ataques en Ruta: Man-in-the-Middle (MitM) y Man-in-the-Mobile (MitMo)

Los ataques en ruta (on-path attacks) consisten en la interceptación o alteración maliciosa de los flujos de comunicación establecidos entre dos dispositivos legítimos (como un navegador web y un servidor web remoto). El objetivo del atacante es recolectar datos confidenciales de forma silenciosa o suplantar la identidad de una de las partes para manipular la sesión.


1. Man-in-the-Middle (MitM - Hombre en el Medio)

Un ataque MitM clásico se ejecuta cuando un ciberdelincuente logra posicionarse directamente en el canal de comunicación entre el emisor y el receptor, obteniendo el control lógico de la transmisión de datos sin que ninguno de los usuarios legítimos perciba la intrusión.


2. Man-in-the-Mobile (MitMo - Hombre en el Móvil)

MitMo es una variante especializada del ataque MitM diseñada específicamente para comprometer y tomar el control del sistema operativo de un dispositivo móvil (smartphone o tablet).

[!IMPORTANT] El caso de ZeUS y la evasión de 2FA: El paquete de malware ZeUS es un ejemplo técnico destacado de capacidades MitMo. Su peligrosidad radica en la habilidad de capturar de forma invisible los mensajes de texto (SMS) que contienen los códigos de verificación en dos pasos (2FA) enviados por entidades bancarias o servicios críticos. Al interceptar este segundo factor de autenticación, el atacante puede autorizar transacciones monetarias o accesos no permitidos sin que el usuario real reciba la notificación.


3.9 Ataques de Día Cero (Zero-Day Attacks)

Un ataque o amenaza de día cero representa uno de los vectores de agresión más críticos en ciberseguridad, ya que aprovecha una vulnerabilidad de software desconocida para el público general, para los investigadores de seguridad y para el propio desarrollador del sistema.

La Ventana de Vulnerabilidad Técnica

La peligrosidad de este ataque radica en el periodo de tiempo en el que la infraestructura permanece expuesta. Este ciclo se comprende entre el momento exacto en que los atacantes descubren y empiezan a explotar el fallo en escenarios reales (hora cero) y el momento en que el proveedor del software logra desarrollar, probar y distribuir de manera global un parche de seguridad que corrige la vulnerabilidad.

%%{init: {'theme': 'base', 'themeVariables': { 'fontFamily': 'ui-sans-serif, system-ui, sans-serif' }}}%%
flowchart TD
    A[<b>Fase 1: Día Cero</b><br>El atacante descubre el fallo y lo explota en secreto] --> B[<b>Fase 2: Detección</b><br>La comunidad o el proveedor descubren la vulnerabilidad]
    B --> C[<b>Fase 3: Desarrollo</b><br>El proveedor diseña y prueba el parche de seguridad]
    C --> D[<b>Fase 4: Mitigación</b><br>Los administradores aplican la actualización global]

    %% Estilos de color de los bloques (Compatibles con Modo Claro y Oscuro)
    style A fill:#e06666,stroke:#cc0000,stroke-width:2px,color:#000000
    style B fill:#f6b26b,stroke:#e69138,stroke-width:2px,color:#000000
    style C fill:#ffd966,stroke:#f1c232,stroke-width:2px,color:#000000
    style D fill:#93c47d,stroke:#38761d,stroke-width:2px,color:#000000

Características del Vector de Ataque

[!CAUTION] El mercado negro de Zero-Days: Los exploits de día cero son activos altamente valorados en el mercado de la ciberdelincuencia y el ciberespionaje. Los atacantes avanzados suelen mantener estas vulnerabilidades en secreto, utilizándolas de forma muy quirúrgica y limitada para evitar que sean detectadas y parcheadas prematuramente.

[!IMPORTANT] Estrategias de Defensa Holística: Para mitigar ataques cuya naturaleza es totalmente desconocida, las organizaciones no pueden depender de defensas reactivas. Se requiere la adopción de arquitecturas avanzadas basadas en:

  1. Análisis de Comportamiento: Herramientas EDR (Endpoint Detection and Response) que detecten anomalías en la ejecución de procesos, en lugar de buscar malware conocido.
  2. Segmentación de Red y Confianza Cero (Zero Trust): Limitar el alcance del atacante para que, si logra comprometer un sistema mediante un Zero-Day, no pueda realizar movimientos laterales hacia el resto de la infraestructura.

3.10 Registro de Teclado (Keylogging)

El registro de teclado o de teclas (keylogging) es una técnica de interceptación táctica que consiste en monitorizar y grabar de forma sistemática cada una de las pulsaciones físicas o virtuales realizadas en el teclado de un sistema informático.

Mecanismos de Implementación

Los ciberdelincuentes despliegan esta amenaza utilizando dos metodologías técnicas diferenciadas:

[!NOTE] Tecnología de doble uso (Dual-Use): Es importante destacar que el software de registro de teclas no siempre se despliega de manera ilícita o con intenciones criminales. Muchas aplicaciones legítimas de control parental, monitorización de menores y auditoría corporativa incorporan capacidades de keylogging autorizadas para supervisar la actividad de niños o empleados, garantizando su seguridad digital dentro del marco legal y doméstico.

Exfiltración e Impacto en la Confidencialidad

El software o hardware registrador está configurado para empaquetar de forma periódica las pulsaciones capturadas dentro de un archivo de registro (log). Posteriormente, este archivo se transmite de manera automatizada y silenciosa hacia los servidores de comando y control (C2) del atacante.

Debido al alcance masivo de la captura de texto plano, el análisis de estos archivos compromete de forma crítica la confidencialidad de la información, exponiendo:

  1. Credenciales de acceso completas (nombres de usuario y contraseñas).
  2. Direcciones de sitios web y portales de servicios visitados.
  3. Conversaciones privadas, correos electrónicos corporativos e información financiera sensible.

[!WARNING] Evasión de auditorías: Los keyloggers de hardware son invisibles para la inmensa mayoría de las herramientas de software de ciberseguridad, ya que no ejecutan procesos en el procesador ni modifican archivos del sistema operativo. Su detección requiere auditorías visuales y controles de seguridad física sobre los equipos de la organización.

[!TIP] Estrategias de Mitigación: Para combatir y neutralizar las variantes basadas en software, se deben implementar soluciones de protección proactivas, tales como:


3.11 Recomendaciones Técnicas de Defensa contra Ataques

Para mitigar y neutralizar los vectores de agresión analizados en este módulo, las organizaciones deben implementar una estrategia de seguridad por capas basada en las siguientes contramedidas y buenas prácticas:

Configuración Perimetral y Reglas de Firewall

[!WARNING] Gestión de ICMP: Aunque el bloqueo total de ICMP mitiga los ataques de inundación básicos, puede dificultar la resolución remota de problemas de red. Algunos administradores prefieren limitar la tasa de transferencia (rate-limiting) de estos paquetes en lugar de un bloqueo absoluto.

Gestión de Vulnerabilidades e Infraestructura

[!TIP] Defensa elástica: El uso de balanceadores de carga combinado con políticas de escalado automático (auto-scaling) permite que los sistemas web absorban los impactos iniciales de un ataque DDoS volumétrico mientras los sistemas de limpieza de tráfico (scrubbing centers) entran en acción.


4. Seguridad en Redes Inalámbricas y Vectores de Ataque Móviles

4.1 Introducción y Superficie de Ataque Inalámbrica

La evolución de las arquitecturas de red hacia entornos empresariales unificados ha difuminado el perímetro de seguridad tradicional. En las redes cableadas convencionales (Ethernet), la mitigación de amenazas se apoya significativamente en el control de acceso físico a los switches, la infraestructura de cableado y los puertos de pared. No obstante, la adopción masiva de tecnologías inalámbricas (WLAN bajo el estándar IEEE 802.11) y la proliferación de la telefonía móvil han expandido exponencialmente la superficie de ataque de las organizaciones.

En un entorno inalámbrico, el medio de transmisión es el espectro de radiofrecuencia (el aire). Esto implica que cualquier actor de amenazas que se encuentre dentro del rango de alcance de la señal puede interceptar tramas de datos, inyectar paquetes maliciosos o ejecutar ataques de denegación de servicio (DoS) sin necesidad de establecer una conexión física previa con la infraestructura. La falta de barreras físicas inherente a las señales de radio convierte a la seguridad de la capa física y de enlace de datos inalámbrica en un vector crítico de vulnerabilidad.

Asimismo, la convergencia de dispositivos móviles (smartphones y tablets) dentro de las redes corporativas mediante políticas como BYOD (Bring Your Own Device) introduce riesgos multifactoriales. Estos dispositivos operan de manera híbrida entre redes celulares, redes Wi-Fi corporativas y puntos de acceso públicos no protegidos. Debido a su portabilidad, constante conectividad y al almacenamiento de credenciales corporativas de alto nivel, los terminales móviles se han convertido en el objetivo predilecto para la exfiltración de información y el acceso inicial no autorizado a redes internas.


4.2 Amenazas Específicas: Grayware y SMiShing

Los dispositivos móviles descritos anteriormente son el objetivo principal de técnicas de engaño que explotan de forma directa la falta de atención del usuario o la ausencia de auditoría en el software instalado. A continuación, se detallan dos de las amenazas más comunes y de mayor crecimiento en estos entornos:

A. Grayware (Software Gris)

El Grayware clasifica a los programas y aplicaciones que, sin ser estrictamente un virus, troyano o ransomware destructivo, ejecutan acciones molestas, invasivas o que comprometen gravemente la privacidad del usuario final.

[!WARNING] Riesgo Silencioso: Aunque el Grayware no destruya archivos de manera activa, el consumo sostenido de recursos en segundo plano degrada el rendimiento de la batería y el procesamiento del dispositivo, además de exponer información de la red corporativa a servidores de terceros.


B. SMiShing (SMS Phishing)

El SMiShing es una variante dirigida de ingeniería social que utiliza el Servicio de Mensajes Cortos (SMS) de las redes celulares en lugar del correo electrónico tradicional para engañar a los objetivos.

 [ Mensaje de Texto Recibido ]
 "Su cuenta bancaria ha sido bloqueada. Ingrese urgentemente 
  al siguiente enlace para verificar su identidad: http://bit.ly"

Amenaza Vector de Entrada Principal Impacto Operativo y de Seguridad Método Fundamental de Mitigación
Grayware Tiendas de aplicaciones (permisos abusivos) Pérdida de privacidad corporativa y degradación del hardware Implementar políticas de privilegios mínimos y auditar licencias.
SMiShing Redes de telefonía celular (SMS fraudulentos) Robo de identidad, phishing de credenciales e infección de endpoints Capacitación en concientización y bloqueo de remitentes no verificados.

4.3 Puntos de Acceso No Autorizados (Rogue Access Points)

El despliegue de infraestructura inalámbrica no controlada dentro del perímetro corporativo representa una de las brechas de seguridad física y lógica más críticas para un administrador de red. Un punto de acceso no autorizado (conocido técnicamente como Rogue AP) es cualquier dispositivo emisor de señales inalámbricas que se conecta a la infraestructura de red cableada interna sin la aprobación ni el conocimiento explícito del departamento de TI.

graph LR
    subgraph Red Interna Segura
        A[Servidores y Datos] <--> B[Switch Corporativo]
    end
    subgraph Brecha de Seguridad
        B <--> C[Rogue AP No Autorizado]
    end
    subgraph Entorno Exterior
        C -. Radiofrecuencia .-> D((Atacante Remoto))
    end

    style A fill:#f9f,stroke:#333,stroke-width:2px
    style B fill:#bbf,stroke:#333,stroke-width:2px
    style C fill:#f99,stroke:#333,stroke-width:2px
    style D fill:#edd,stroke:#333,stroke-width:2px

[!CAUTION] Riesgo Crítico de Arquitectura: Un Rogue AP transforma un entorno que requiere autenticación estricta en una red abierta y accesible por radiofrecuencia desde el exterior de las instalaciones físicas de la organización.


4.4 Vectores de Ataque Inalámbricos Avanzados

Las amenazas en redes WLAN combinan de forma sistemática fallas de protocolo con vulnerabilidades humanas y físicas. A continuación, se detallan y extienden en profundidad los tres componentes clave de la explotación inalámbrica mediante puntos de acceso dudosos, estructurados de forma continua:

graph TD
    subgraph Fase 1: Intrusión y Desasociación
        A[Atacante / Ingeniería Social] -- Acceso Físico --> B[Instalación de Punto de Acceso Dudoso]:::critical
        C[Laptop Atacante]:::critical -- "Tramas de Desautenticación <br>#40;Línea Zigzag / DoS#41;" --> D[Cliente de Escritorio]
        D -. "Conexión Interrumpida" .-> E[Router / AP Real <br>#40;Señal Débil#41;]:::info
    end

    subgraph Fase 2: Redirección por Fuerza de Señal
        F[Usuario Desorientado] -. "Opción A: Conexión Débil" .-> E
        F -- "Opción B: Conexión Automática <br>#40;Señal Fuerte#41;" --> B
    end

    subgraph Fase 3: Interceptación Man-in-the-Middle
        B -- "Captura de Credenciales" --> G[Dispositivo MitM del Delincuente]:::critical
        G --> H[Análisis de Tráfico / Packet Sniffing]:::critical
        G <--> I((Internet / Nube)):::success
    end

    classDef critical stroke:#f44336,stroke-width:2px;
    classDef info stroke:#2196F3,stroke-width:2px;
    classDef success stroke:#4CAF50,stroke-width:2px;

[!CAUTION] Defensa Crítica: Para mitigar de raíz estos tres vectores combinados, Cisco recomienda la implementación del estándar IEEE 802.11w (Protected Management Frames - PMF) para evitar la suplantación de MAC en las tramas de desautenticación, junto con políticas estrictas de control de acceso a la red basadas en certificados digitales (802.1X/EAP-TLS).


4.5 Bloqueo de Radiofrecuencia (RF Jamming) y Denegación de Servicio Física

Las arquitecturas de comunicación inalámbrica dependen por completo de la integridad del medio físico de transmisión (el aire). Debido a la naturaleza ondulatoria de las señales de radio, el espectro electromagnético es intrínsecamente vulnerable a fenómenos ambientales e interferencias provocadas, lo que abre un vector crítico para ataques de Denegación de Servicio (DoS) en la capa física.

graph LR
    subgraph Emisión Legítima
        A[AP Corporativo]:::info -- "Señal Inalámbrica Legítima <br>#40;Frecuencia X, Modulación Y, Potencia Z#41;" --> B((Espacio Aéreo Compartido)):::critical
    end

    subgraph Vector de Ataque DoS
        C[Dispositivo Jammer / Atacante]:::critical -- "Emisión de Ruido Deliberado <br>#40;Frecuencia, Modulación y Potencia Idénticas#41;" --> B
    end

    subgraph Impacto en el Receptor
        B -. "Señal Degradada / Ruido Destructivo" .-> D[Estación Receptora / Cliente móvil]
        D --> E[Pérdida Total de Conectividad]:::critical
    end

    classDef critical stroke:#f44336,stroke-width:2px;
    classDef info stroke:#2196F3,stroke-width:2px;

[!TIP] Estrategia de Mitigación Cisco: Para combatir el bloqueo de RF deliberado, Cisco implementa tecnologías como Cisco CleanAir en sus Puntos de Acceso empresariales. Este sistema cuenta con un silicio especializado (ASIC) que detecta y clasifica la firma del Jammer en tiempo real, permitiendo al Wireless LAN Controller (WLC) cambiar de forma dinámica a canales de radio no afectados mediante algoritmos de Gestión de Recursos de Radio (RRM).


4.6 Ataques a Redes de Área Personal: Bluejacking y Bluesnarfing

A diferencia de las vulnerabilidades Wi-Fi que apuntan principalmente a la infraestructura central o a los puntos de acceso, las amenazas basadas en el protocolo Bluetooth (bajo el estándar IEEE 802.15.1) se enfocan directamente en los terminales de los usuarios (endpoints). Debido al diseño de propagación de las ondas y al alcance físico intrínsecamente limitado de las antenas de Clase 2 y Clase 3 de Bluetooth, un atacante requiere proximidad geográfica obligatoria (generalmente un radio de entre 1 y 10 metros del objetivo) para explotar el dispositivo de la víctima de manera silenciosa y sin su consentimiento implícito.

graph TD
    subgraph Atacante ["Proximidad Física Atacante"]
        A[Dispositivo del Atacante]:::critical
    end

    subgraph WPAN ["Perímetro WPAN <br> 1 a 10 Metros"]
        A -- "Envío de Mensajes / vCards <br>#40;Capa de Control#41;" --> B[Bluejacking]
        A -- "Exfiltración No Autorizada <br>#40;Acceso a Archivos#41;" --> C[Bluesnarfing]
    end

    subgraph Objetivo ["Impacto en el Dispositivo Objetivo"]
        B --> D[Impacto: Mensajes SPAM, imágenes invasivas, ingeniería social]
        C --> E[Impacto: Robo de correos, lista de contactos, fotos y SMS]:::critical
    end

    classDef critical stroke:#f44336,stroke-width:2px;

[!TIP] Estrategia Corporativa de Mitigación: Para anular la superficie de ataque de estos vectores de proximidad, Cisco aconseja aplicar políticas estrictas a través de sistemas de Gestión de Dispositivos Móviles (MDM). Estas directrices deben forzar a los terminales corporativos a operar permanentemente en modo “No Descubrible” (Invisible) e inhabilitar de forma automática el protocolo Bluetooth cuando el dispositivo detecte que se encuentra fuera de los perímetros físicos seguros de la organización.


4.7 Evolución y Vulnerabilidades en Protocolos de Seguridad Wi-Fi (WEP vs. WPA2/WPA3)

La protección de los datos en tránsito dentro de una red de área local inalámbrica (WLAN) depende de la robustez de los protocolos de cifrado aplicados en la capa de enlace de datos. Históricamente, mecanismos como Wired Equivalent Privacy (WEP) y Wi-Fi Protected Access (WPA/WPA2/WPA3) fueron diseñados para mitigar la vulnerabilidad intrínseca del medio compartido (el aire); sin embargo, las deficiencias arquitectónicas de las primeras implementaciones facilitaron el desarrollo de vectores de ataque avanzados.

graph TD
    subgraph WEP ["Protocolo WEP <br>#40;Deprecado e Inseguro#41;"]
        A[Clave Estática Compartida] --- B[Falta de Gestión de Claves]
        C[Vector de Inicialización IV Corto] --- D[IV Transmitido en Texto Plano]
        B & D --> E[Recuperación de Clave Criptográfica por el Atacante]:::critical
    end

    subgraph WPA2_WPA3 ["Protocolos WPA2 / WPA3 <br>#40;Seguridad Avanzada#41;"]
        F[Claves Dinámicas] --- G[Cifrado AES o SAE]
        G --> H[Clave Criptográfica No Recuperable por Observación]
        I[Atacante con Packet Sniffer] -. Interceptación de Flujos .-> J[Análisis de Paquetes Handshake y Tráfico]:::critical
    end

    classDef critical stroke:#f44336,stroke-width:2px;

4.7.1 Definición y Funcionamiento Interno de los Protocolos

Para comprender cómo los atacantes vulneran las redes inalámbricas, es fundamental analizar la arquitectura técnica y el funcionamiento operativo de cada protocolo desarrollado por la IEEE y la Wi-Fi Alliance:

A. WEP (Wired Equivalent Privacy)
B. WPA (Wi-Fi Protected Access)
C. WPA2 (Wi-Fi Protected Access 2)
D. WPA3 (Wi-Fi Protected Access 3)

4.7.2 Análisis Teórico de Fallos y Vulnerabilidades

[!IMPORTANT] Diferencia Operativa Clave: Mientras que en WEP un atacante recupera la clave descifrando directamente las tramas de datos por fallas de diseño matemático (IV corto), en WPA2 el atacante solo puede atacar el proceso de autenticación inicial (Handshake) de forma indirecta mediante fuerza bruta. WPA3 neutraliza este último vector al requerir que el atacante esté presente activamente en vivo para validar cada contraseña, imposibilitando los ataques de diccionario masivos en computadoras externas.


4.8 Mecanismos de Defensa y Endurecimiento (Hardening) Inalámbrico y Móvil

La mitigación efectiva de los vectores de ataque descritos a lo largo de este módulo requiere la implementación de un enfoque de seguridad en profundidad. La protección de la infraestructura inalámbrica y de los terminales móviles corporativos no puede depender de un único control, sino de la combinación de configuraciones criptográficas estrictas, segmentación de red a nivel de arquitectura y políticas operativas rígidas.

graph TD
    subgraph Politicas corporativas ["Políticas Corporativas de Endurecimiento"]
        A[Hardening de Parámetros por Defecto] --- B[Políticas de Acceso para Invitados / Guests]
    end

    subgraph Arquitectura de red ["Arquitectura de Red Segura"]
        C[AP Inalámbrico Corporativo] --> D{Firewall / DMZ Perimetral}
        D --> E[Red LAN Interna Protegida]:::success
        D --> F[Zona de Dispositivos No Confiables]:::critical
    end

    subgraph Conectividad y auditoria ["Conectividad Segura y Auditoría Activa"]
        G[Empleados Remotos / WLAN] -- "Túnel VPN de Acceso Seguro" --> E
        H[Herramientas de Auditoría / NetStumbler] -. "Detección Activa" .-> I[Puntos de Acceso Dudosos]:::critical
    end

    classDef critical stroke:#f44336,stroke-width:2px;
    classDef success stroke:#4CAF50,stroke-width:2px;

4.8.1 Directrices Técnicas para la Mitigación de Amenazas

Para neutralizar los riesgos asociados con los puntos de acceso no autorizados, el espionaje de tráfico y la infiltración móvil, las organizaciones deben desplegar de manera obligatoria las siguientes contramedidas de seguridad:


5. Seguridad de las webs