seguridad en internet

5/10/2018 Seguridad en Internet - slidepdf.com

http://slidepdf.com/reader/full/seguridad-en-internet-55a0befa2d475 1/120

ColombiaUnderground Team

Principios de seguridad en Internet

By: Flacman

[email protected]

1



Contenido

Capitulo 1

(INTRODUCCION AL SUB-MUNDO)

1. Introducción

2. ¿Que son los Hackers?

2.1. ¿Cómo surgieron?

2.2. ¿Quienes son?

2.3. Carta de un Hacker

3. Etica Hacker

4. Monarquía Hacker

5. Phreaking

5.1. Historia del Phreaking

6. Crackers

6.1. Formas de Crashing

7. Copy Hackers

8. Newbies

9. La escoria de la red

9.1. Script Kiddies

9.2. Bucaneros

9.3. Lammers

10. Actividades en el submundo

10.1. Virii

10.2. Cryptografía

10.3. Programación

2



10.4. Ingeniería social

10.5. Tunneling

10.6. Carding

11. Hackers famosos

11.1. Robert Morris

11.2. Steve Wozniak

11.3. Vladimir Levin

11.4. Genocide

11.5. Kevin Mitnick: el chacal de la red

11.6. Mafia Boy

Capitulo 2

(Métodos de ataque)

12. INTRODUCCION13. CRASHING

13.1. TIEMPO DE USO LIMITADO

13.2. CANTIDAD DE EJECUCIONES LIMITADAS

13.3. NÚMEROS DE SERIE

13.4. MENSAJES MOLESTOS Y NAGS

13.5. FUNCIONES DESHABILITADAS

13.6. CD-ROM13.7. ARCHIVOS LLAVE

14. VIRII O VIRUS

14.1. ¿QUÉ ES UN VIRUS?

14.2. ¿CÓMO SE CONSTRUYEN?

14.3. HISTORIA DE LOS VIRUS

14.4. TIPOS DE VIRUS

14.4.1. VIRUS DE BOOT

3



14.4.2. VIRUS DE FICHERO

14.4.3. VIRUS DE SOBREESCRITURA

14.4.4. VIRUS DE COMPAÑIA

14.4.5. VIRUS COMPRESORES

14.4.6. VIRUS DE ENLACE DIRECTO

14.5. VIRUS FAMOSOS

14.6. CABALLOS DE TROYA O BACKDOORS

14.6.1. MEDIOS DE TRANSMICION

14.6.1.1. MENSAJES DE CORREO

14.6.1.2. TELNET

14.6.1.3. REDES COMPARTIDAS

14.6.1.4. OTROS SERVICIOS DE INTERNET

14.6.2. TROYANOS FAMOSOS

15. OCULTISMO DE VIRUS

15.1. TUNNELING

15.2. STEALTH

15.3. AUTO ENCRYPTACIÓN

15.4. MECANISMOS POLIFORMICOS

15.5. ARMOURING

16. PIRATERIA POR MAIL

16.1. SPAM MAILING

16.2. HOAXES

16.3. OBTENCION DE CONTRASEÑAS

17. CARDING

18. SNIFFERS y KEYLOGGERS

18.1. SNIFFERS

19. IP SPOOFING

20. D.o.S

20.1. CONSUMO DE ANCHO DE BANDA

20.2. ATAQUE DOS GENÉRICO

20.3. ATAQUES DNS

4



20.4. DESBORDAMIENTO DEL BUFFER

21. TELNET

21.1. TELNET INVERSO

22. INGENIERIA SOCIAL

Capitulo 3

(Métodos de defensa)

23. INTRODUCCION

24. ANTIVIRUS

24.1. HEURISTICA Y FUNCIONAMIENTO DEL ANTIVISUS

24.2. SINTOMAS

24.3. LABORATORIOS DE ANTIVIRUS

25. FIREWALL26. PROXIES Y STEALTH

27. CYPTOLOGIA

28. FIRMAS Y PRIVASIDAD

29. CONCLUSIONES

30. BIBLIOGRAFÍA

31. GLOSARIO

5



Capitulo 1

(INTRODUCCION AL SUB-MUNDO)

1. INTRODUCCION:

En la actualidad el tema sobre los “hackers” es muy común, podemos verlo en

revistas, periódicos, etc. ¿Pero los escritores saben en realidad quienes son?

El día lunes once de octubre de 2002 en el periódico El Tiempo, apareció unartículo sobre los hackers el cual los describía a ellos y sus actividades. Acá los

describían como piratas y ladrones de Internet, los cuales tenían un único

propósito, destruir. El nombre de los hackers en nuestra sociedad esta siendo

manchado por los medios de comunicación y por la falta de información de

ellos y de la sociedad. No pretendo defender a todas las personas que duran

días enteros frente a un computador, lo que quiero es destruir los argumentos

de los prejuiciosos reporteros y escritores sobre este tema.

Aunque no podemos decir que todas las personas que entran a la red tienen

buenos propósitos, tampoco podemos decir que todos son malos, existen

personas buenas, malas y los que pasan desapercibidos. Es un mundo muy

grande para poder generalizarlo todo como lo hacen los medios.

El principal objetivo de este proyecto es mostrar a los lectores los posiblesriesgos que pueden tener al estar frente a un ordenador y como defenderse de

ellos. Para conseguir esto, este trabajo se ha dividido en tres capítulos,

Introducción al submundo, reconocer el medio en el que navegamos y donde

habitan los mayores riesgos de Internet y conocer los diferentes tipos de

"razas" de personas con los que nos podemos topar en este submundo,

Métodos de ataque, Analizar los diferentes medios y amenazas que nos

rodean, y por último, Métodos de defensa, conocer las soluciones que nos

6



ofrece Internet para defendernos de los problemas que se pueden encontrar, y

así no sufrir las molestias que nos proporciona Internet.

2. QUE SON LOS HACKERS:

2.1. COMO SURGIERON:

La palabra hacker se divide en tres partes: La más conocida es un sinónimo de

delincuentes informáticos, personas que tienen como único objetivo destruirtodo lo que se encuentre a su alcance. Para otras personas esta palabra es

sinónimo de inteligencia, de genios informáticos que duran días enteros frente

a un ordenador. Por ultimo está la verdadera historia de este termino, hace

mucho tiempo cuando se usaban ordenadores de gran tamaño y teléfonos

antiguos, se le llamaba a los técnicos de los sistemas hackers. Estas personas

para arreglar estos aparatos le proporcionaban un golpe a la maquina el cual

tomo el nombre de “hack”, o traducido al español “hachazo”, y era el métodoutilizado de arreglar un teléfono o una maquina.

Después, un grupo de estudiantes de la universidad MIT se nombraron

Hackers al poder construir una puerta trasera al ordenador principal, que les

permitió entrar desde sus habitaciones y así poder conseguir información y

trabajar en sus proyectos personales. Desde ese momento empezó la piratería

en la red, aunque estos estudiantes no tuvieran malas intenciones fueron juzgados y expulsados. Así se empezaron a crear grupos de hackers, pero no

todos eran malos, la mayoría de estos, los verdaderos hackers, solo querían

obtener información para poder ser calificados como los mejores en le tema, y

así sobresalir ante la sociedad hacker. 1

1Diario de un hacker. Confesiones de hackers adolescentes, Dan Verton Mc Graw Hill,

1999

7



A diferencia de estos existían otros grupos de gente maliciosa que pretendían

infiltrarse en los computadores de otras compañías para sacar información y

venderla. Poco a poco los hackers fueron consiguiendo mala fama por culpa de

los verdaderos piratas de la red, los medios los juzgaban como un solo grupo

uniendo a los buenos con los malo, y así la nuestra sociedad se quedo con la

mala imagen de los hackers.

Por esta razón los verdaderos genios informáticos ahora intentan recuperar su

mala imagen, pero sin mucho éxito. Este es mi objetivo personal para proyecto,

limpiar su imagen. Aquí voy a informar a los lectores sobre los diferentes tipos

de aficionados a la informática, sus hazañas, sus técnicas, y lo más importante,

como defenderse de los enemigos de la red.

Para sustentar la idea de la corrupción del nombre “hacker”, se realizo una

encuesta que demuestra la influencia de los medios de comunicación en la

población. Le preguntamos ¿que es un hacker? A un variado grupo de

personas.

Ingeniero de sistemas:

El hacker hoy en día es un tipo muy inteligente, pero con las malas costumbres

de tratar de meterse en sistemas de otros en general con malas intenciones,

desde espiar tus archivos, hasta monitorear los passwords y logins, para

meterse en tus cuentas de banco, tarjetas de crédito, etc., es decir un

desgraciado.

Aficionado en computadores:

Yo creo que un hacker es una que usa los computadores para usar y crear

programas o encontrar errores en los programas entonces ellos pueden usarlos

8



para propósitos que normalmente no se usan, algunas veces se usan para

explorar computadores, o ponerse alrededor de barreras de seguridad, o para

crear nuevos usos para estos programas y algunas veces sin el permiso de

estas personas que son dueñas de los programas.

Antiguo ingeniero de sistemas:

Un hacker es una persona q vive metiéndose en los computadores, es un tipo

muy bueno en el uso de los computadores y en informática, entiende todo loreferente a ello. Es buscado por empresas para que trabajen para ellos por que

es muy efectiva.

Ex-Hacker:

Es una persona que aprovecha errores de los sistemas, como los de Windows,

para hacer bien propio o comunal, informa de los errores y hay veces se metenen los sistema de forma ilegal.

Estudiante de ingeniería:

Los ladrones de Internet, se roban las contraseñas y roban a todo el mundo y

roban con los códigos de tarjeta de crédito de los demás, también se infiltra en

las redes para dañarlas.

Niño de doce años:

Ellos son unos duros en Internet, son unas personas muy inteligentes

manejando computadores. Lo único malo es que son malos y destruyen todo

metiéndole viruses a los computadores.

9



2.2. ¿QUIENES SON?:

"Podríamos ser los chicos que le suministran la gasolina de su coche. Lo que

realmente tiene que saber es que nos diseminamos tan rápidamente como el conocimiento... a

la velocidad de la información" Genocide

Muchos piensan que ellos son personas que buscan agujeros de seguridad en

las redes, o son personas que busca sitios Web para infiltrarse y destruirlos, y

aun más, dicen que es una persona que vive metida en un computador todo el

día, viajando por un submundo lleno de información. Un hacker es una persona

normal, que tiene un sueño y un propósito como todos y este esta en la

investigación y en afán de superación en su medio. Estas personas

normalmente van en contra de cualquier interés económico o comercial y sus

creaciones son compartidas por la red de forma gratuita. Ellos escriben

documentos con el propósito de enseñar su cultura a cualquier persona

interesada en el tema de forma gratuita y se empeñan en ayudar a los nuevosa seguir su cultura. Los verdaderos hacker no son realmente malos, si, en

algunas ocasiones se infiltran en redes ajenas, pero tienen sus razones: la

primera es conseguir información con el objetivo de aprender y la segunda es

para descubrir fallas de seguridad en estos servidores ajenos y así darlas a

conocer para que el problema sea arreglado. Los propósitos de los hackers son

buenos, ellos principalmente se especializan en la programación y la seguridad

informática. Su afición a las matemáticas y a los computadores les impidenacercarse a un mal camino.

Otra gente también confunde a los hacker con nerds, un nerd es una persona

que es sobresaliente en algún área de la tecnología y que es socialmente

inepto. En su versión extrema a algunos Nerds se les pone el termino de

"muchos MIPS sin encendido(I)/apagado(O)" debido a que son muy brillantes,

pero incapaces de comunicarse con otros seres humanos. No confundir con el

10



Hacker, pues aunque la falta de comunicación con el ser humano estándar les

ayuda concentrarse en su trabajo, el conocimiento técnico no necesariamente

significa falta habilidades sociales. Esto tampoco es un hacker, la mayoría de

ellos tienen novias y hasta algunos una vida social muy amplia, no niego que

existan hackers nerds, pero no obligatoriamente un hacker tiene que ser un

nerd.2

Durante la década de los 80 los mejores hackers hicieron posible lo que en la

década de los 90 se ha conocido como el 'boom de Internet'. Ellos fueron lo

que construyeron la WWW (World Wide Web), y crearon todos los protocolos y

las ordenes para que los ordenadores puedan continuar con sus acciones

rutinarias en la red. Pero no solo fue eso, ellos crearon las redes de las

universidades y las grandes compañías, y nos demostraron que en este mundo

no existe un computador o una red segura. Ellos hicieron lo que muchas

personas creían que era imposible, entrar en una computadora principal, y así

hicieron que las compañías se dieran cuenta de los riesgos que tenían al

instalar un computador en la red. Un hacker, en contra de lo que los medios

pueden dar a entender es una persona constructiva,

es un creador de alternativas. 3

2.3. CARTA DE UN HACKER

La siguiente carta fue escrita por un hacker a una editorial española para

mostrar su incomodidad hacia los medios y con el propósito de limpiar el

nombre de los hackers:

"Hola, soy Cybor. Probablemente no me conozcan. Tampoco pretendo salir en

la prensa. Eso no me importa, sin embargo si hay otras cosas que me interesan

más que mi identidad. Por ejemplo, me interesan las aperturas de sistemas

2

http://www.paralax.com.mx/antivirus/ar03-hackersyvirus.html3 http:// www.lycos.com/hacknova/foro.php

11



cifrados. Pero eso es algo que nadie te enseña. Eso tienes que aprenderlo por

ti mismo. También me interesa que todos sepan quienes somos y que no

estamos solos en este peculiar mundo. Me interesa que sepan que no todos los

Hackers somos iguales. También me interesa saber que la palabra Hacker

tiene un significado muy curioso.

En un articulo reciente se publicó que se nos conocían como piratas

informáticos. Es probable, pero creo que están tremendamente equivocados.

Quiero reivindicar mi posición. Pero lo cierto es que cada vez que hablan de

nosotros es para decir que hemos reventado el ordenador de tal multinacional

con grandes perdidas o que hemos robado cierta información. Estas cosas

suceden, y particularmente tengo que decir que estas cosas están al alcance

de otros personajes más peligrosos que nosotros. En nuestro mundo habitan

los crackers y los phreakers. También están los snickers y cada uno de ellos

tiene su cometido, pero para la mayoría todos somos iguales y todos somos

piratas informáticos. Pero quiero ir por pasos. ¿ Que te parece saber de donde

procede la palabra Hacker?. En el origen de esta palabra esta el término Hack - algo así como golpear con un hacha en ingles -, que se usaba como forma

familiar para describir como los técnicos telefónicos arreglaban las cajas

defectuosas, asestándoles un golpe seco. También mucha gente arregla el

televisor dándole una palmada seca en el lateral. Quien hacia esto era un

hacker. Otra historia relata como los primeros ordenadores grandes y

defectuosos, se bloqueaban continuamente y fallaban. Los que las manejaban

se devanaban los sesos creando rutas para aumentar la velocidad y cosas parecidas. Estas cosas se denominaban Hacks y a los que lo hacían se les

llamaban Hackers. Otra denominación se le hacia a aquel experto en cualquier

campo que disfrutaba modificando el orden de funcionamiento del aparato. De

esta forma siempre superaba las limitaciones y esto le producía una alta

satisfacción. A estas personas también se les llamaban Hackers. Pero pronto

surgieron otros acrónimos como Crackers. Este acrónimo surgió allá por el año

1985, y fue inventado por los propios Hackers para diferenciar a aquel que

12



fisgaba en un ordenador con aquel que creaba un virus dañino o copiaba un

software. Así, frente a un ordenador ajeno un Hacker y un Cracker no son la

misma cosa. Por otro lado en algunas ocasiones un Hacker es muy útil porque

siempre detecta un agujero en cualquier programa nuevo. Esto es bueno para

ponerlo en conocimiento de la empresa que ha creado el programa. El Cracker

aprovecharía este error para entrar en el programa y copiarlo.

Aparte del Cracking existen otras formas de vandalismo tecnológico. Así, el

Phreaking, por ejemplo es la manipulación de las redes telefónicas para no

pagar las llamadas. El Carding se refiere al uso ilegal de las tarjetas de crédito.

Y el Trashing consiste en rastrear la basura o residuos de los sistemas

informáticos en busca de información como contraseñas. Pero, volviendo a los

Hackers. ¿ Cómo son? ¿ Que aspecto tienen?. Cuando alguien oye mencionar

la palabra Hacker rápidamente se le viene a la cabeza un adolescente ojeroso,

con los ojos inyectados en sangre que ha pasado las ultimas 24 horas delante

del ordenador. Esta imagen esta estereotipada. No es así. Un Hacker puede

ser cualquier estudiante de informática, electrónica u otra persona, que sale con los amigos y que tiene novia. Un Hacker es una persona normal como tu.

Los Hackers son casi siempre gente joven. Quizás somos los que más nos

interesamos por la tecnología. Un Hacker normalmente despierta el gusanillo a

temprana edad. Y no se hace de la noche a la mañana. Cuando logra serlo

después de realizar un Hack, se busca un apodo y no da la cara por cuestión

de seguridad. La gente todavía no confía en nosotros y nos ven con ojos

malos. Normalmente al final de todo somos contratados por empresas importantes para ayudarles en su trabajo. Y otra cosa que hacemos es contar

como funciona la tecnología que se nos oculta. Este método se llama enseñar y

creo que no es nada malo. De modo que si un Hacker escribe un libro es

porque tiene algo que enseñar y nada mas. Bueno, creo que ya he escrito

bastante. Son las doce y media de la noche y mis padres ya se han acostado.

Mañana tengo que madrugar. Y sobre todo quiero que quede buena constancia

de lo que somos.

13



Cybor, Bangor Diciembre del 96 Maine " 4

3. ETICA HACKER:

La mentalidad de hacker no sólo está en ésta cultura cibernética, existen

personas que aplican la actitud de hacker a otras cosas, como electrónica o

música. Los hackers informáticos reconocen estos espíritus emparentados y

los denominan “hackers” también y algunos sostienen que la naturaleza de

hacker no tiene nada que ver con el medio en el que actúan, sólo necesitan deese afán de superarse para ser mejores y así convertirse en hackers.

La mayoría de los hackers siguen una filosofía y una ética que es más o menos

parecida en todos ellos. Por mi experiencia en el mundo de los ordenadores he

elaborado unos principios que la mayoría de los hackers siguen. En el mundo

hacker la mayoría de las personas son maestros que desean inculcar su cultura

a las personas interesadas, y desean el libre acceso a la información, el acceso

a los ordenadores y todo lo que pueda inculcar alguna enseñanza sobre el

funcionamiento del mundo y de sí mismos, esta información debe ser ilimitada

y total.

A. Toda información debe ser libre. La falta de libertad en la información

y en las aplicaciones son un obstáculo más para la creatividad de

estos genios informáticos. Un ejemplo de esto es UNIX un sistema

Operativo de libre distribución, es el más usado por los hackers y al

mismo tiempo el más confiable por que lo han hecho ellos mismos

ayudados de otros hackers interesados.

4 http://www.elinflador.com.ar/hackercarta.html

14

http://www.elinflador.com.ar/hackercarta.html

http://www.elinflador.com.ar/hackercarta.html



B. Desconfía de la autoridad, las autoridades promocionan la

descentralización. Los burócratas y las grandes empresas o entidades

gubernamentales que promocionan un sistema capitalista en la

sociedad informática. Ellos involucran algunas reglas que prohiben la

libre información y el intercambio de ideas. Esto, primero fomenta

errores en los archivos o sistemas ya que no cuentan con la ayuda

necesaria como en los programas de libre distribución, en los cuales

cualquier persona da ideas para mejorarlo. Y segundo da una mala

imagen a los hackers ya que su política es muy distinta a la política

capitalista y consumista de nuestra sociedad.

C. Los hackers deben ser juzgados por sus trabajos, no por criterios

irrelevantes como títulos, edad, raza, o posición. En el “submundo”,

como algunos lo llaman, las personas que se presentan con grandes

título y referencias impresionantes no son de mucha importancia, no

importa la identidad de la persona, lo único que importa para ser

catalogado como un buen hacker son sus logros y sus creaciones.D. Por último, aunque esta sociedad se pueda denominar anarquista en

algunos casos, ellos respetan las reglas de los demás. Aunque para

ellos las normas y las barreras les resulta una molestia, respetan la

forma de pensar de cualquier persona, y por eso cumplen sus reglas

cuando entran en propiedad ajena.

4. MONARQUIA HACKER:

Este “submundo” es una comunidad muy grande, que como todas las

comunidades y sociedades esta dividido en varios grupos. Existen los “gurús”

que comúnmente son personas con gran experiencia y son gente mayor, estas

personas son los maestros de los demás hackers y lammers. Es el maestro a

15



quien recurre el Hacker cuando tienen algún problema, y se dice posee

conocimientos mas allá de la comprensión de un simple mortal. 5

Después de ellos siguen los hackers los cuales son muy apegados a los gurús,

la diferencia es que la mayoría de los hackers se especializan en un solo

campo como la programación, la cryptología, etc. Y en este mismo nivel

también se encuentran los phreakers, que son los especializados en líneas

telefónicas y redes de teléfonos.

Por ultimo están los newbies que son lo que quieren llegar a ser alguien en

esta sociedad. Esta es la monarquía del submundo, pero no todo acaba aquí,

también están los malos y los que creen estar en ella. En este grupo están los

lammers, los crackers, los script kiddies, los bucaneros, y los copy hackers.

5. PHREAKING

La tercera parte importante de este submundo son los phreakers, además de

los hackers y los crackers. Ellos son los crackers dedicados a la piratería de

telecomunicaciones, celulares, teléfonos, etc. Es el arte y la ciencia de irrumpir

la red de teléfono, la palabra phreaker viene de free (gratis) y hacker. 1. En un

tiempo el phreaking era una actividad semi-respetable entre hackers; había el

acuerdo de un caballero del phreaking como un juego intelectual y forma de

exploración era aceptable, pero el hurto serio de servicios era tabú. Había un

cruce significativo entre la comunidad de los hackers y los phreakers de

teléfono Quien manejaba redes semi-cubiertas de su propia creación con

medios tan legendarias como lo es el del GOLPECITO. Este ethos comenzó a

mediados de los años ochenta mientras que una difusión más amplia de las

técnicas se puso en las manos de los phreakers menos responsables.

5 http://www.paralax.com.mx/antivirus/ar03-hackersyvirus.html

16

http://www.paralax.com.mx/antivirus/ar03-hackersyvirus.html

http://www.paralax.com.mx/antivirus/ar03-hackersyvirus.html



Alrededor de la misma época, los cambios en la red de teléfono había hecho a

la ingeniosa la técnica del viejo estilo menos eficaz como manera de cortar la

conexión, así que el phreaking vino a depender más de actos abiertamente

criminales tales como números de tarjetas telefónicas robadas. Los crímenes y

los castigos de cuadrillas, como el grupo "414" que ha vuelto este juego muy

feo. Lo más actual de lo que se ha oído hablar es de las cajas azules, o de

otros colores según su preferencia. 6

Estas cajas, como la caja azul, son el método de ataque más común de los

phreaker, ellas son usadas para cambiar la frecuencia de los teléfonos para

lograr diferentes objetivos. En la actualidad existen infinidad de cajas con sus

diferentes aplicaciones y métodos de uso.

5.1. HISTORIA DEL PHREAKING

El Phreaking empezó en los inicios de la década de los 60 cuando un tal Mark

Bernay descubrió como aprovechar un error de seguridad de Bell (compañía

telefónica fundada por Alexander Graham Bell). Este error se basaba en la

utilización de los mecanismos loop-arround-pairs como vía para realizar

llamadas gratuitas.

Lo que Bernay descubrió, fue que dentro de Bell existían unos números de

prueba que servían para que los operarios comprobaran las conexiones.

Estos números solían ser dos y consecutivos, y estaban enlazados de tal

manera que si se llamaba a uno este conectaba con el otro. Así pues si alguien

en EEUU marcaba una serie de estos números de prueba consecutivos podría

hablar gratuitamente.

6 http://catb.org/~esr/jargon/html/P/phreaking.html

17

http://catb.org/~esr/jargon/html/P/phreaking.html

http://catb.org/~esr/jargon/html/P/phreaking.html



Este descubrimiento fue potenciado sobre todo por los jóvenes de aquel

entonces, los cuales solo lo utilizaban con el fin de ahorrase dinero a la hora de

hablar con sus amigos. Pero la cosa cambio cuando cierto número de estos

descubrió que Bell era un Universo sin explorar y al que se le podría sacar más

partido que el de unas simples llamadas gratuitas. Así pues de los

rudimentarios loop-arround-pairs se paso a la utilización de ciertos aparatos

electrónicos, los cuales son conocidos ahora como “boxes” (cajas). La primera

“box” que se encontró fue hallada en 1961 en el Washington State College, y

era un aparato con una carcasa metálica que estaba conectada al teléfono...

automáticamente fue llamada Blue Box (caja azul).7

Todo comenzó con esta falla de seguridad, y con la clásica "caja azul",

después de esto el phreaking fue evolucionando y destruyendo las fallas de

seguridad de los nuevos sistemas telefónicos. La mayoría de estas personas

operan es cabinas telefónicas por seguridad, pero otras se emprenden en la

aventura de realizar la piratería telefónica desde sus casas. Esta es una de las

formas mas avanzadas de pirateo, no existe algún tipo de seguridad no haya

sido explotado por los phreakers, y por eso uno de los métodos de piratería

mas conocido en el submundo.

6. CRACKERS

En esta comunidad tampoco hacen falta los “malos”, los Crackers, que muy a

menudo son confundidos con los hackers. La actividad cracker, o cracking, es

mejor conocida como ingeniería inversa, la ingeniería inversa esta basada en

quitar, remover o suspender uno o varios temas que protegen a alguna

aplicación que por lo general son comerciales. El cracking es la ciencia que

estudia la seguridad de sistemas de protección tanto de software como de

7 http://mundo-libre.org/phreaking/phreaking.htm

18

http://mundo-libre.org/phreaking/phreaking.htm

http://mundo-libre.org/phreaking/phreaking.htm



hardware con el objetivo de violarlos. También Podemos definirlo de forma más

generalizada como la acción que consiste en la modificación total o parcial de

sistemas mediante alguna técnica específica. El principal objetivo de un cracker

es violar la seguridad de los sistemas, y la mayoría de veces con fines

maléficos, conseguir información y venderla, o usar los programas de otros de

forma no autorizada.

En la actualidad es habitual ver como se muestran los Cracks de la mayoría de

Software de forma gratuita a través de Internet. El motivo de que estos Cracks

formen parte de la red es por que los programadores o las empresas

comercializan sus productos en toda la red.

Un cracker se encarga de crear sus propios programas para burlar la seguridad

de páginas Web o aplicaciones, al igual que los hackers las publican en

Internet pero, con el objetivo de ser reconocidos por la sociedad, y también

apoyar la campaña de software libre. 8

6.1. FORMAS DE CRASHING

El crashing es la técnica que utilizan los crackers para irrumpir en la seguridad

de un programa. Sus principales hazañas se basan en esto, violar las distintas

formas de seguridad de los programas comerciales. Pero no solo se trata de

programas, el crashing es en si irrumpir en la seguridad de algo, bien pueden

ser paginas de Internet, sistemas remotos, servidores, etc. Este termino es

principalmente usado en el submundo, pero también se usas para otras

aplicaciones. Los ladrones de cajas fuertes, cuando irrumpen en ella se le

llama crashing, este es un ejemplo sencillo que sirve para explicar el uso de

esta palabra. Los crackers principalmente utilizan esta técnica para violar la

8 Morrison, William. Crackers on the web. Editorial gray star 1994

19



seguridad de algunas cosas y utilizan técnicas diferentes que serán nombradas

en el segundo capitulo.9

Pero ellos no solo actúan con los programas y las páginas Web, la mayoría de

ellos se involucran con los ISP (los proveedores de servicio a Internet) como

las conexiones por cable o digitales. Su objetivo con esto es conseguir servicio

a Internet gratuito. También con la televisión por cable, ellos piratean la línea y

así consiguen gratis el servicio de televisión.

7. COPY HACKERS

El cuarto tipo de personas en la red son las que se denominan "copy hackers".

Estas son personas muy ligadas al hacking pero con la excepción de que solo

se interesan en el hardware y el cracking de hardware, mayoritariamente del

sector de tarjetas inteligentes empleadas en sistemas de telefonía celular.

Muchas personas confunden a estos como plagiadores que consiguen

programas hechos por otros y los venden como suyos. A este grupo se le

conoce como el cuarto eslabón de la red, después de los hackers, crackers y

los phreakers.10

8. NEWBIES

Los newbies son otra raza de personas que apenas están entrando en este

mundo, a ellos no se les puede nombrar como algo importante en la red, pero

ellos son el futuro de esta. Los newbies como ya lo dije antes son personas

nuevas en este mundo, lo que ellos quieren es aprender a ser hackers, a

igualarse a los grandes Gurus de la historia. Normalmente ellos no son el tipo

de personas que prueban cualquier aplicación sin saber, ellos primero leen y

aprenden la parte teórica para así poder continuar. Son personas muy

9 KRaViTZ , INTRODUCCION AL CRACKING

20



dedicadas y con mucho empeño en lo que hacen. El problema de ellos es que

muchos se desvían y llegan a convertirse en lammers o crackers.

9. LA ESCORIA DE LA RED

Estos son los principales grupos de personas que se pueden encontrar en la

ciber sociedad. Cada uno tiene sus características y técnicas que los

diferencian, pero no son solo las técnicas lo que los diferencian, estas son las

personas que no son muy agradables y tampoco bienvenidas en el submundo.Existen 3 tipos de estas personas, los bucaneros, los script kiddies, y por ultimo

los lammers.

9.1. Script kiddies

Los script kiddies son aquellas personas que quieren conseguir

todos los programas y leer todos los artículos relacionados con elhacking o el cracking. Ellos utilizan estos programas con el

propósito de probar todo lo nuevo que ha salido en la red. El uso

inadecuado de estas herramientas puede causar daños

irreparables en la red o en los ordenadores de otros usuarios,

pueden llegar a soltar un virus en la red o dañarse a si mismos,

pero lo hacen inocentemente ya que no saben específicamente

para que sirven. Ellos también leen todo lo que se les pasa por los

ojos, normalmente no entienden lo que dice pero aun así los leen.

9.2. Bucaneros

Los bucaneros son las personas que no tienen ni idea de lo que

es el hacking o cualquier otro arte de la ciber sociedad, y la

10 http://www.umanizales.edu.co/encuentrohackers/m_copyhacker.htm

21

http://www.umanizales.edu.co/encuentrohackers/m_copyhacker.htm

http://www.umanizales.edu.co/encuentrohackers/m_copyhacker.htm



mayoría no sabe como utiliza un computador, lo que ellos hacen

es vender información o programas hechos por hackers o

crackers.

9.3. Lammers

Por ultimo los lammers. Estos son los que más se escuchan y los

que más se ven ya que en él está el mayor número de personas.

Un Lammer es simple y sencillamente un tonto de la informática,una persona que se siente "Hacker" por haber bajado el troyano

de moda, alguien a quien le guste bajar virus de la red e

instalarlos en la PC de sus amigos. Por haber manejado un

programa de cracking creado por otros, el lammer ya piensa que

es un hacker experto, ellos solo le dicen a todas las personas que

son hackers y que son expertos en informática y divulgan sus

actos criminales por la red y con sus amigos. Ellos se crean su

propia fama y no tienen la menor idea de lo que es ser hacker.

Aunque tengan algún conocimiento sobre computadores ellos

más bien podría llamárseles como Crackers de pésima calidad.

En general alguien que cree que tiene muchos conocimientos de

informática y programación, pero en realidad no tiene ni la más

mínima idea de ello. 11

10. ACTIVIDADES EN EL SUBMUNDO

10.1. VIRII

Uno de los métodos más comunes de la piratería informática son los virus. Este

no tiene algún tipo de personas que se especifique en él, pero por lo general es

11 http://www.informaticahispana.com/~hackedplanet/def_lammer.htm

22



estudiado por los hackers y los crackers. Ya muchos conocemos el término de

"virus" o "virii" pero no muchos sabemos lo que verdaderamente son. La

palabra "virus informático" viene de los virus biológicos que infectan a la

persona hasta acabarla. Los primeros virus se replicaban hasta sobre cargar el

sistema, así como los biológicos que se reproducen y poco a poco van

dañando el cuerpo humano. Un virus en simplemente un programa. Una

secuencia de instrucciones y rutinas creadas con el único objetivo de alterar el

correcto funcionamiento del sistema y, en la inmensa mayoría de los casos,

corromper o destruir parte o la totalidad de los datos almacenados en el disco.

De todas formas, dentro del término "virus informático" se suelen englobar

varios tipos de programas. Existen varios tipos de virus usados por los crackers

los cuales describiremos mas adelante.12

10.2. CRYPTOGRAFIA

La cryptografia es otra etapa de gran importancia usada por los hackers. Esto

consiste en cifrar un mensaje o un archivo en base a diferentes algoritmo para

hacerlo ilegible para otras personas, es el método usado para esconder

mensajes, o hasta señales de televisión. La cryptografia comenzó con los

espartanos en el año 400 a.C., la primera forma de clave para encubrir

mensajes secretos fue la Scitala, que puede considerarse el primer sistema de

cryptografía por transposición, es decir, que se caracteriza por enmascarar el

significado real de un texto alterando el orden de los signos que lo conforman.

Los militares de la ciudad griega escribían sus mensajes sobre una tela que

envolvía una vara. El mensaje sólo podía leerse cuando se enrollaba sobre un

bastón del mismo grosor, que poseía el destinatario lícito.

El método de la scitala era extremadamente sencillo, como también lo era el

que instituyó Julio César, basado en la sustitución de cada letra por la que

ocupa tres puestos más allá en el alfabeto.

12 http://www.monografias.com/trabajos/virus/virus.shtml

23



En los escritos medievales sorprenden términos como Xilef o Thfpfklbctxx. Para

esconder sus nombres, los copistas empleaban el alfabeto zodiacal, formaban

anagramas alterando el orden de las letras (es el caso de Xilef, anagrama de

Félix) o recurrían a un método denominado fuga de vocales, en el que éstas se

sustituían por puntos o por consonantes arbitrarias (Thfpfklbctxx por

Theoflactus). 13

.

10.3. PROGRAMACION

Otra parte importante del hacking es la programación. El crear programas por

ellos mismos es muy importante para poder alcanzar sus exigencias. La

programación se ah hecho una de las ramas más importantes para los hackers,

ya que sus necesidades son muy amplias y las tienen que suplir de alguna

forma. La programación libre ah evolucionado el mundo de los computadores

ya que cada persona puede ser capaz de crear sus propios programas y así

cubrir las necesidades de todos con nuevas ideas. La primera forma de

programación fue en lenguaje binario o lenguaje de maquina, este lenguaje

consiste en 1 y 0 (prendido y apagado) para mandarle diferentes tipos de

voltaje a la maquina y así cumplir una orden.

Ahora con la creación de los lenguajes de programación, el programador puede

crear algoritmos más complejos y extensos por la facilidad de uso de estos.

Pero estos nuevos lenguajes de programación no son tan novedosos como

parecen ya que ellos utilizan un compilador que pasa las ordenes escritas a 0 y

1, para que el computador las pueda leer, en si la forma de programar un

sistema no se ha hecho un gran cambio, solo se facilito su usos para los

usuarios.

10.4. INGENIERIA SOCIAL

13http://rinconquevedo.iespana.es/rinconquevedo/Criptografia/clasicos.htm

24



Este método es el único que no requiere específicamente de habilidades

informáticas. La ingeniería social es uno de los métodos más usados para

conseguir acceso a otros ordenadores o cuentas de correo electrónico. Este

método se encarga de engañar con artilugios o técnicas aparentemente

amigables a los usuarios y así conseguir su confianza para poder conseguir

información confidencial. La formas más segura y sencilla de hacer cracking es

esta, pues solo necesita de un poco de ingenio para que salga adelante esta

técnica.

10.5. TUNNELING

Otra técnica importante de este submundo es el tunneling, este es un método

de infiltración que sirve para infiltrar los virus a los ordenadores sin ser

detectados por el anti-virus u otro tipo de seguridad. El tunneling apunta a

proteger al virus de los módulos residentes de los anti-virus, que monitora todo

lo que sucede en la maquina para interceptar todas las actividades "típicas" de

los virus. Para entender como funciona esta técnica, basta saber como trabaja

este tipo de anti-virus. El modulo residente queda colgado de todas las

interrupciones usualmente usadas por los virus (INT 21, INT 13, y a veces INT

25 Y 26) y entonces cuando el virus intenta llamar a INT 21, por ejemplo, para

abrir un ejecutable para lectura/escritura (y luego infectarlo), el anti-virus chilla,

pues los ejecutables no son normalmente abiertos, ni menos para escritura.14

10.6. CARDING

14 http://www.geocities.com/SiliconValley/Sector/5353/textos.htm

25

http://www.geocities.com/SiliconValley/Sector/5353/textos.htm

http://www.geocities.com/SiliconValley/Sector/5353/textos.htm



El carding es el único método de este submundo que no requiere

específicamente de un ordenador. Este método consiste en el robo de tarjetas

de crédito y otro tipo de "dinero plástico". El carding consiste en obtener y

manipular el uso legitimo de las tarjetas de crédito ajenas para conseguir el

dinero de una de estas tarjetas de crédito o cuentas bancarias ajenas, o tan

solo manipular sus números. Normalmente el cracker no dispone del dinero

ajeno con el que compra las cosas, sino lo que hace es comprar a través de

Internet y hacer que se lo envíen a una dirección cercana que no lo relacione

directamente con la compra (o por lo menos eso sería lo inteligente).

Básicamente es muy fácil lograr comprar con una tarjeta ajena por Internet

solamente hay que ser observador e intentar descifrar el sistema que se sigue

para generar los números de las tarjetas de crédito y te darás cuenta de que

cada tarjeta de cada banco obedecen a un algoritmo que puede facilitarte las

cosas de forma considerable una vez descifrado (lo cual no ofrece demasiada

dificultad ya que en la red encontraras miles de generadores de tarjetas de

crédito). Esta técnica esta muy ligada con el cracking, ya que utiliza alguna de

sus técnicas para conseguir los números de cuentas bancarias.15

11. HACKERS FAMOSOS

11.1. Robert Morris

El 2 de Noviembre de 1988 Robert Tappan Morris, hijo de uno de los

precursores de los virus y recién graduado en Computer Science en la

Universidad de Cornell, difundió un virus a través de ArpaNet, (precursora de

Internet) logrando infectar 6,000 servidores conectados a la red. La

propagación la realizó desde uno de los terminales del MIT (Instituto

Tecnológico de Massachusetts).

15 http://tatooine.fortunecity.com/tharg/95/hpvc.html

26

http://tatooine.fortunecity.com/tharg/95/hpvc.html

http://tatooine.fortunecity.com/tharg/95/hpvc.html



Cabe mencionar que el ArpaNet empleaba el UNIX, como sistema operativo.

Robert Tappan Morris al ser descubierto, fue enjuiciado y condenado en la

corte de Syracuse, estado de Nueva York, a 4 años de prisión y el pago de

US $ 10,000 de multa, pena que fue conmutada a libertad bajo palabra y

condenado a cumplir 400 horas de trabajo comunitario.16

11.2. Steve Wozniak

Nació en agosto 22 de 1950Microcomputer for Use with Video Display

Personal Computer

Patent Number(s) 4,136,359

Inducted 2000

Ordenador personal de Apple II de Wozniak - introducido en 1977 y ofrecer una

unidad central de proceso (CPU), el teclado, la impulsión de diskette y una

etiqueta de precio $1.300 - lanzamiento ayudado la industria de loos

ordenadores. En el año de 1980, apenas los poco más de cuatro años después

de ser fundada, Apple se convirtió en un sistema público. El impacto de la

invención ayudo al lanzamiento de la industria de los ordenadores.

Biografía del inventor

Toda su vida, Steve Wozniak ah amado los proyectos que lo hacen pensar. En

el sexto grado, él construyó su propia estación de radio aficionada y ganó una

licencia de la jam' on radio. En la edad 13, él construyó su primera

computadora, y en la secundaria, él era presidente del club de la electrónica.

Después de graduar de la secundaria Homestead (California) en 1968,

Wozniak atendió a la universidad de California-Berkeley.a mediados de 1970 el

diseño chips de calculadora para Hewlett packard. Después en 1976, Wozniak

16 http://www.perantivirus.com/sosvirus/hacke rs/morris.htm

27



y Steve jobs, también un graduado de la universidad de Homestead, fundaron

computadoras Apple, inc. con la computadora de Apple I. La compañía,

comenzada como operación de dos personas trabajando en un garaje, vino a

ser una compañía de $500-million-por año en seis años. Wozniak dejo Apple

en 1981, fue de nuevo a Berkeley y acabó su grado en ciencia eléctrica en

ingeniería y computación. Desde entonces, él ha estado implicado en vario

negocio y las empresas filantrópicas, centrándose sobre todo en capacidades

de la computadora en escuelas, incluyendo una iniciativa en 1990 para colocar

las computadoras en escuelas en la Union Sovietica. La creencia fuerte de

Wozniak en la educación lo ha incitado donar las computadoras e incluso los

laboratorios enteros de la computadora a las escuelas; los servidores y el

Internet tienen acceso a los estudiantes; computadoras portátiles para los

estudiantes y entrenamiento de computadores para los profesores y los

estudiantes. El tiempo de Wozniak ahora es dedicado sobre todo a sus propios

intereses. Su creencia en aprender con manos y en el pensamiento libre y la

creatividad que animan en jóvenes continúa siendo su fuerza impulsora.17

11.3. Vladimir Levin

Un graduado en matemáticas de la Universidad Tecnológica de San

Petesburgo, Rusia, fue acusado de ser la mente maestra de una serie de

fraudes tecnológicos que le permitieron a él y la banda que conformaba,

substraer más de 10 millones de dólares, de cuentas corporativas del Citybank.

En 1995 fue arrestado por la Interpol, en el aeropuerto de Heathrow, Inglaterra,

y luego extraditado a los Estados Unidos.

Las investigaciones establecieron que desde su computadora instalada en la

empresa AO Saturn, de San Petersburgo, donde trabajaba, Levin irrumpió en

las cuentas del Citybank de New York y transfirió los fondos a cuentas abiertas

en Finlandia, Israel y en el Bank of America de San Francisco.

17 http://www.invent.org/hall_of_fame/155.html

28



Ante las evidencias y manifestaciones de sus co-inculpados, Vladimir Levin se

declaró culpable. Uno de sus cómplices, Alexei Lashmanov, de 28 años, en

Agosto de 1994 había hecho alarde entre sus conocidos, en San Petersburgo,

acerca de sus abultadas cuentas bancarias personales en Tel Aviv, Israel.

Estos conspiradores habían obtenido accesos no autorizados al Sistema de

Administración de Dinero en Efectivo del Citybank (The Citybank Cash

Management System), en Parsipanny, New Jersey, el cual permite a sus

clientes acceder a una red de computadoras y transferir fondos a cuentas de

otras instituciones financieras, habiendo realizado un total de 40 transferencias

ilegales de dinero.

Lashmanov admitió que él y sus cómplices había transferido dinero a cinco

cuentas en bancos de Tel Aviv. Incluso trató de retirar en una sola transacción

US $ 940,000 en efectivo de estas cuentas.

Otros tres cómplices, entre ellos una mujer, también se declararon culpables.

Esta última fue descubierta "in fragante" cuando intentaba retirar dinero de una

cuenta de un banco de San Francisco. Se estima en un total de 10.7 millones

de dólares el monto substraído por esta banda.

Las investigaciones y el proceso tuvieron muchas implicancias que no pudieron

ser aclaradas ni siquiera por los responsables de la seguridad del sistema de

Administración de Dinero en Efectivo, del propio Citybank. Jamás se descartó

la sospecha de participación de más de un empleado del propio banco.

A pesar de que la banda substrajo más de 10 millones de dólares al Citybank,

Levin fue sentenciado a 3 años de prisión y a pagar la suma de US $ 240,015 a

favor del Citybank, ya que las compañías de seguros habían cubierto los

montos de las corporaciones agraviadas.

Los técnicos tuvieron que mejorar sus sistemas de seguridad contra "crackers"

y Vladimir Levin ahora se encuentra en libertad.18

18 http://www.perantivirus.com/sosvirus/hackers/levin.htm

29

http://www.perantivirus.com/sosvirus/hackers/levin.htm

http://www.perantivirus.com/sosvirus/hackers/levin.htm



11.4. Genocide

Todo empezó cuando él era joven, a diferencia de los demás hackers de la red,

él no disponía de un ordenador, ni siquiera de servicios públicos, y vivía en una

cabaña de madera de 6 por 6 en los bosques de Alaska. Genocide nunca

mostró interés por las materias que aprendía en la escuela, excepto por los

equipos informáticos. El se sentaba horas delante de los ordenadores de la

escuela y así consiguió gran habilidad para proporcionar caos en las redes de

su escuela. Dos años mas tarde su primo, un bandalo reconocido, le enseñoalgo de ingeniería social y phreaking, aunque dejó todo esto después de la

captura de su primo y sus amigos. Su primera hazaña como hacker fue en la

red escolar al cambiar sus notas de química. Cuando su mama empezó sus

clases universitarias, Genocide aprovechaba para instalarse en la red y así

aprender mas sobre ordenadores y conocer verdaderos hackers. Así se formo

un grupo de 5 amigos, WIZDom, Astroboy, Alexu, Malcom y Genocide que

como la mayoría de los hackers creían que la información debería ser libre para

el público. Así fundaron su primera comunidad a la que llamaron hacker

2600.Cuando su comunidad se hizo más grande cambiaron su nombre por

genocide2600, y la comunidad siguió creciendo hasta que la universidad local

les pidió que la retiraran de su red, pero ese no era problema para el, así que

decidió esconderla mucho más. Este grupo se volvió vital en el submundo ya

que tenia archivos y comandos que nadie tenia. Sus reuniones nocturnas

también continuaron, peor ahora con mas personas que asistían a ella, los

integrantes del grupo nunca discutían nada ilegal, ya que el grupo era muy

grande y las reuniones eran en las instalaciones de la universidad y con el

auspicio de esta. Hasta que un día un funcionario gubernamental llego hasta

esa reunión y acuso a Genocide por la intrución al servidor "luna". Mucho

después la universidad congeló la cuenta de Genocide mientras se hacia la

investigación de su caso, pero no había nada que lo pudiera relacionar con

esto. Desde ahí el grupo se empezó a derrumbar, pero todavía seguía en pie.

Genocide se fue a vivir a Oregon con un trabajo en seguridad informática, y el

30



grupo creció mucho más, pero ahora con warez (copias ilegales de programas)

y números de serie. Así el FBI siguió tras la pista del, pero ahora con otra meta,

tenerlo de su lado. Genocide rechazo la oferta y siguió con su grupo hasta el

momento.19

11.5. Kevin Mitnick, El Chacal de la Red

Hijo de padres divorciados de clase media baja, Kevin Mitnick nació en 1965 en

Los Ángeles. Cuando tenía tan sólo 17 años dio su primer gran golpe como"phone phreaker" (hackers que atacan las redes telefónicas), cuando robó

manuales de la telefónica Pacific Bell y penetró en las redes de una empresa

llamada Microport Systems. Mitnick fue descubierto, juzgado y declarado

culpable, pero su corta edad impidió que termine en la cárcel.

En 1989 llegaron las primeras condenas efectivas por fraude informático. El

hacker fue obligado a pasar un año tras las rejas de una prisión de mínimaseguridad, luego de introducirse en las centrales de la telefónica MCI World

Com y obtener en forma ilegítima códigos para realizar llamadas de larga

distancia. Ese mismo año, la empresa Digital Equipment acusa Mitnick de

ocasionar daños en sus sistemas por una suma millonaria.

Mitnick salió en libertad, pero las cosas no cambiaron mucho. Durante los 5

años siguientes, Kevin se cansó de jugar al gato y al ratón con empresas,

policías, expertos en seguridad informática y hasta el propio FBI.

En noviembre de 1992, el FBI trató de detenerlo nuevamente por ingresar

ilegalmente en la computadora de una compañía telefónica, pero mediante una

espectacular fuga Mitnick logró escapar. Desde la clandestinidad, el pirata

19 Diario de un hacker. Confesiones de hackers adolescentes Dan Verton Mc

Graw Hill, 1999

31



informático continuó invadiendo y hackeando todas las redes que encontraba a

su paso, mientras empresas de la talla de Sun Microsystems, Novell, y

Motorola, entre otras, acusaban al hacker fugitivo de causarles millones de

dólares en pérdidas.

El principio del fin

Dos años más tarde, Mitnick descubre que si consigue un método para hackear

redes telefónicas desde un teléfono celular sería prácticamente imposible

descubrirlo. Para obtener la información clasificada sobre cómo estabanmontadas las redes telefónicas inalámbricas, Mitnick invadió la computadora

personal de Tsutomu Shimomura, un especialista japonés en seguridad

informática que trabajaba para Netcom On-Line Communications Services.

Mitnick obtuvo la información y puso en ridículo a Shimomura frente a la

comunidad científica norteamericana. Aquel incidente hizo que Shimomura

tomara la captura del superhacker como una cuestión estrictamente personal.

El "hacker bueno" emprendió una cruzada para encontrar a Mitnick que incluyóvarios viajes por todo Estados Unidos. .

Finalmente, el 15 de febrero de 1995 y gracias a la dedicación personal de

Shimomura en la causa, el FBI logra apresar a Mitnick. A partir de ese día

Mitnick permaneció tras las rejas hasta hoy, día de su liberación. Durante su

estadía en prisión se forjó el mito de "Free Kevin", tanto en el underground

informático como en las tapas de periódicos como el New York Times.El polémico juicio

Aquellos que creyeron que con la captura de Mitnick se acabarían los dolores

de cabeza se equivocaron. El proceso de Mitnick estuvo plagado de polémicas

legales, empezando porque el hacker pasó encerrado más de cuatro años sin

pasar por un juicio ni recibir sentencia, lo que provocó la ira de la comunidad

hacker y de varias organizaciones defensoras de los derechos humanos.

32



A mediados de 1999 Mitnick aceptó firmar un documento en el que se

declaraba culpable de los cargos de cracking (violación de redes informáticas)

reiterado. Mediante el acuerdo, firmado un mes antes del inicio del juicio,

Mitnick evitaba pasar por el banquillo de los acusados y aceptaba una

sentencia que le daría la libertad el año 2000.

La libertad

El 20 de diciembre de 200 y tras cinco años tras las rejas, Mitnick recuperó lalibertad pero no tenía permiso oficial para acercarse a un ordenador. El hacker

abandonó la prisión con los tapones de punta y ese mismo día emitió un

comunicado aseguró que "Los fiscales manipularon todo el juicio.

Con el tiempo., Mitnick obtuvo permiso para acercarse a un ordenador y hasta

para navegar por la Web. Para ese entonces, su fama había crecido tanto que

ese instante fue reproducido por varias cadenas de televisiónnorteamericanas.20

11.6. Mafia Boy

Un joven provocativo y travieso de catorce años que vivía en Montreal donde

se convirtió en un cracker informático. Su primer Ataque fue a una pequeña ISP

en estados unidos llamada outlawnet, y desde ahí mafia boy empezó a ser

investigado por las autoridades, pero este caso ya no era tan importante.

Liderando una larga investigación sobre ataques hacker a la OTAN, el FBI se

infiltro en el submundo. En una de sus búsquedas por hackers en una de las

salas de chat de IRC, Swallow, uno de los agentes infiltrados del FBI, se

encontró con un molesto chico que se apodaba Mafia Boy. Este chico parecía

20 _^SIAKO^_, El Chacal de la Red. www.elhacker.net

33



un vulgar skript kiddie en la sala de chat, hasta que, después de cansarse de

las farsas de Mafia Boy, le propusieron un reto hacker, atacar a CNN, Yahoo y

a E-Trade. El agente del FBI se enteró de varios ataques hacker contra estas

empresas y emprendió su búsqueda para encontrar a Mafia Boy. Muchos

ataques hacker resultaron después de este que bloquearon a la mayoría de

empresas de Internet. Después de volverse a encontrar a mafia boy en una de

las salas de IRC, los federales se dieron cuenta que mafia boy no era un simple

lammer, él era un hacker. Los federales sospecharon de su ubicación en algún

lugar de Montreal, donde se dio inicio a una ardua investigación a la cual

llamaron operación "claymore". La primera pista que obtuvieron fueron tres

cuentas de correo electrónico con el nombre de Mafia Boy en los sistemas de

Delphi supernet y Totalnet. Los archivos del caso de Outlawnet, coincidían con

algunos de los ataques de Mafia Boy. La poca experiencia de Mafia Boy llevó a

los investigadores a seguirle la pista mas de cerca, el 15 de abril del 2000 los

federales hicieron una incursión a la casa de Mafia Boy donde fue arrestado.

En el juzgado Mafia Boy se declaro culpable y fue sentenciado a ocho meses

en la cárcel de menores y se le prohibió hablar por Internet y conseguir

programas no comerciales.21

21

Diario de un hacker. Confesiones de hackers adolescentes DanVerton Mc Graw Hill, 1999

34



Capitulo 2

(Métodos de ataque)

12. INTRODUCCION

Los ataques en la red son muy comunes hoy en día, esto lo podemos ver con

la alteración de los muchos usuarios cuando llega un nuevo virus, o cuando

dicen que alguien esta atacando los sistemas de mensajería mas comunes(msn messenger y yahoo messenger). Mucha gente esta alerta de esto, y los

sistemas de protección siempre tienen que estar al tanto de la situación. Existe

mucha gente en la red que lo hace por ganar popularidad o solo con el objetivo

de molestar al amigo que les quito la novia, pero detrás de todo esto existen

otras razones, como el libre comercio y la libre difusión de la información. La

mayoría de loa crackers y hackers más populares siguen un movimiento

iniciado por los sistemas GNU, los cuales siguen una licencia llamada GPL(general public licence). Esta licencia es la licencia que manejan los creadores

de software gratuitos, con el fin de distribuir sus creaciones de forma gratuita,

como linux, UNIX y apple, en la red sin tener problemas. Para muchos esta

licencia se ha convertido en una ideología y una forma de vida que muchos

navegantes de la red siguen con pasión. Ellos desean la libre distribución de la

información, y la eliminación del comercio en Internet, por eso apoyan a los

creadores del software gratuito y se empeñan en derrochar a las grandesempresas que comercian con esta, como Microsoft. Esta "ideología" a llegado a

tal punto que formo a los hackers “malos”, con cierta perspectiva que con sus

habilidades en los ordenadores se empeñan en destruir a las compañías

comerciantes como Microsoft para que dejen los códigos de fuente de sus

programas de forma gratuita en la red, y así pueda ser modificada para

beneficio de ellos o los demás cibernautas. Como podemos ver para los

sistemas que siguen esta licencia los virus y las aplicaciones destructivas son

35



muy pocas, pero para los sistemas comerciales existe una gran variedad de

aplicaciones dañinas, con el fin de convencer a estas grandes compañías de

distribuir sus creaciones de forma gratuita. La información es un derecho que

estas personas desean hacer cumplir. Otro ejemplo son los video juegos,

aproximadamente el 80% de estos se encuentran de forma gratuita en la red,

ya que los crackers han hecho vulnerables los sistemas de seguridad de estas

aplicaciones para que así puedan ser usados por todas las personas.

Estas protestas no solo se ven en la red, en estados unidos y en los países

más desarrollados se pueden ver constantemente huelgas en las calles para

que la información en la red sea libre. Los hackers difunden panfletos y crean

propaganda en distintos sitios populares. También muchas compañías como

linux apoyan este movimiento poniendo en su software propaganda para esta

causa.

13. CRASHING

Este termino viene de la palabra crash, es decir, estrellar en ingles.

Principalmente lo que pretende esta técnica es estrellar los sistemas de

seguridad de distintas aplicaciones para así poder ser accesibles por cualquier

usuario. Ya en el primer capitulo dimos un ejemplo de que es el crashing, y

ahora nos adentraremos en el tema. Principalmente lo que busca el cracker es

violar la seguridad de las aplicaciones e intenta violar diferentes tipos de

seguridad:

13.1. Tiempo de uso limitado:

El programa puede caducar después de un período de tiempo

determinado por el programador desde la fecha de instalación si no se

registra el programa. Se suele limitar a minutos, horas, días y meses.

Cualquier programa que use ese tipo de seguridad por lo general

guarda el registro de la hora de su creación en registros y algunos

36



archivos del sistema. Un problema grande que tienen este tipo de

seguridad es que la fecha actual del sistema depende enteramente del

usuario, este puede tener control sobre la fecha del sistema y por lo

tanto se vuelve muy vulnerable el programa. Para esto se hizo un nuevo

método, usar la fecha de algunos registros del sistema, aunque esto

implica mas trabajo para los crackers, es muy vulnerable este tipo de

defensas.

13.2. Cantidad de ejecuciones limitadas:

El programa caduca luego de haberlo ejecutado una cantidad

determinada de veces después de su instalación si no se registra, este

registro muy probablemente es guardado en el registro del sistema.

13.3. Números de serie: .

Esto es lo más común encontrar, existen de dos tipos, números de serie

fijos o variables, éste ultimo se genera en la mayoría de los casos sobrela base de algo, como por ejemplo en función del nombre de usuario,

organización, etc. de esta manera se consigue un serial diferente y

único para cada cliente o usuario. Pero también se suelen generar en

función al nombre de la PC, del número de serie de disco o de algún

otro componente del equipo. Y por último tenemos los números

aleatorios, éstos son los más difíciles de crackear ya que dependen de

una clave o un algoritmo hecho por el creador del software, es este

caso el cracker tendría 2 retos, el primero es encontrar la clave, y el

segundo consiste en descifrar el algoritmo de cifrado.

13.4. Mensajes molestos y nags: .

Esto también es bastante común, son ventanas que pueden aparecer al

inicio del programa o al final, o en alguna acción por parte del usuario

en donde informa que se encuentra ante una copia no registrada o

37



algún otro mensaje relacionado a la protección. Estos mensajes

desaparecen al registrar.

13.5. Funciones deshabilitadas: .

Esto le da a un shareware una esencia de que está ante un Demo pero

no lo es en absoluto, generalmente deshabilitan funciones importantes

de la aplicación, como por ejemplo: abrir, guardar, importar, exportar,

imprimir, grabar, etc. Cuando registramos se habilitan todas.

13.6. CD-ROM:

Esta es la más usada por los videos juegos. Debemos insertar el disco

para poder jugarlos. A veces hay juegos que están completamente

instalados en el disco rígido pero nada más por seguridad nos piden el

CD, otros realmente requieren archivos del mismo para su

funcionamiento. Este método puede funcionar de varias formas para

comprobar la presencia del cd. 1) comprobar la etiqueta del cd 2)comprobar el espacio libre que hay en este 3) comprobar algunos

archivos que son eliminados con frecuencia (por ejemplo en mitad de un

juego de puede eliminar un fichero que solo puede restaurarse con el

cd).

13.6.1. Protección contra la copia del CD

Estos métodos de protección son muy vistos, la idea de esto es

proteger de distintas formas los CD’s para que no puedan ser

copiados por los crackers, las formas más comunes son las

siguientes:

1) Deterioro del CD: Deteriorar físicamente el CD para que no pueda

ser copiado con claridad, la copia de estos sería muy difícil ya que

los mejores quemadores no son capaces de quemarlo con

38



precisión, igual esto también implica un riesgo para los autores

del programa ya que es muy posible que los CD’s originales

presenten varias fallasa.

2) Archivos con tamaños falsos: Esta tecnica es muy util ya que

simula archivos muy grandes que al momento de ser copiados

genera errores por el tamaño tan grande del archivo falso.

3) Varios bloques de copiado: El formato ISO para la copia de CD’s

establece que estos solo deben ser creados en un mismo bloque,

por lo tanto cuando se intenta copiar un CD con varios bloques, el

programa de quemado generará errores.

4) Errores ficticios: Es posible que el software al ser quemado le

diga al quemador que este tiene varios errores “ficticios” como un

error de redundancia cíclica, y esto obligara al programa de

quemado a terminar su ejecución.

13.7. Archivos llave: .

Es algo parecido al anterior pero funcionan de muchas formas

diferentes dependiendo de las habilidades del programador.

Anti-herramientas cracking: .

Estas son muy efectivas si se utilizan técnicas novedosas o desconocidas para

los crackers. Se pueden aplicar anti-depurador, anti-desensamblador, anti-

monitores de registros o archivos, API, etc. También anti-modificación del

ejecutable que seria algo como anti-editores hexadecimales.22

Existen varias formas de hacer crashing en un software, como el simple hehco

de cambiar la hora del reloj del computador (en el ejemplo de tiempo de uso

22 KRaViTZ , INTRODUCCION AL CRACKING

39



limitado), y como vemos, muchas de estas son muy sencillas, solo requieren de

un poco de ingenio para encontrar los bugs que tienen esta aplicaciones.

Ahora, para irrumpir en la seguridad de otros sistemas, paginas web, etc,

existen formas mas complejas, pero al mismo tiempo muy sencillas. Estas

"formas" son mas complejas de explicar y por eso van a ser mencionadas mas

adelante.

La mayoría de atackes que pueden ser usados en la red son formas de

crashing usadas para entrar en sistemas ajenos y así poder conseguir

información, o simplemente destruir un ordenador. Este segundo capitulo esta

dedicado a los posibles ataques que se pueden encontrar en internet, y en esto

podemos encontrar mas de una manera de hacer crashing en diferentes

formas.

14. VIRII O VIRUS

14.1. ¿QUÉ ES UN VIRUS?

El término "virus" se usa para llamar a programa de ordenador, generalmente

de autor anónimo, que lleva a cabo acciones que resultan nocivas para el

sistema informático y cuyo funcionamiento queda definido por las siguientes

propiedades.

Es capaz de generar copias de sí mismo de forma homogénea o en lugares

escondidos para el usuario común, en un fichero, disco u ordenador distinto al

que ocupa.

Modifica los programas ejecutables a los que se adhiere, o entre cuyas

instrucciones de código se introduce, consiguiendo así una ejecución

parasitaria. La ejecución parasitaria consiste en que el virus se ejecute de

forma involuntaria cuando se ejecute el programa que lo porta. Los programas

40



portadores pueden ser de uso común del usuario o programas ejecutables del

sistema operativo.

El efecto que produce un virus puede comprender acciones tal como un simple

mensaje en la pantalla, la disminución de la velocidad de proceso del

ordenador. Pero todos los virus para lograr su funcionamiento tiene que ser

ejecutado, es decir que para que un programa de este tipo realice sus acciones

es necesario que se active. Por otro lado, debe permanecer en memoria para

poder obtener así el control permanente del ordenador.

Generalmente su funcionamiento esta comprendido en dos fases. Durante un

período el programa permanece oculto al usuario, en espera de una acción,

como la introducción de una cadena especial de caracteres por el teclado, una

fecha determinada, la ejecución de un programa especifico el cual lo porta o un

tope de autocopias del virus almacenado en un contador interno. En esta fase,

el programa realiza una acción de esparcimiento en el cual su objetivo principal

consiste en realizar el mayor número posible de copias de sí mismo, y así

cubriendo el mayor numero de fases del ordenador.

Una vez que el virus se ha reproducido, este realiza la acción nociva para la

que haya sido creado, completando así la segunda fase de funcionamiento.

Por último, cabe destacar que un virus se diseña intentando ocultar su

presencia ante el sistema y ante el usuario. Generalmente no es descubierto

hasta que surge un hecho anormal derivado de su ejecución que produce una

señal de alarma.

El "contagio" del virus se realiza de forma lógica a través de operaciones de

entrada y salida sobre soportes magnéticos o distintos puertos utilizados para

conectarse a la red, y así estando el programa contaminante en ejecución y

almacenado en la memoria. El origen de todo virus es lo que se llama un

"programa padre" desarrollado por un programador, encargado de iniciar el

esparcimiento del virus.

41



Algunas personas tienen una clasificación de los virus dependiendo de la

accion por la cual han sido creados. Así han sido divididos estos programas en

benignos y malignos. En la subdivisión de los benignos estan incluyen

programas que no ejercen acciones destructivas sobre la información

almacenada en la memoria y los malignos son los que ejercen acciones

destructivas a la información.

Si se analiza un poco más con detalle el efecto de un virus, podemos deducir

que este factor de "benignidad" no existe, ya que si esta alterando la memoria.

Los virus "benignos" se almacenan en la memoria de tal forma que reducen elespacio operativo de esta, por otro lado, necesita del manejo de interrupciones

del sistema operativo para sacar el mensaje por la pantalla e influye sobre el

mecanismo de control del ordenador. La suma de estas acciones puede

generar una reducción de la velocidad de proceso en Hardware y un aumento

considerable en el tiempo de respuesta del ordenador. No hay virus que sea

benigno porque cualquier funcionamiento anormal del ordenador es un perjuicio

para el usuario.23

14.2. ¿CÓMO SE CONSTRUYEN?

Principalmente cualquier herramienta de programación es buena para hacer un

virus, sin embargo, por lo general los virus son de pequeño tamaño y tratan de

contener el máximo código en el mínimo espacio.

En general, la creación de un virus requiere el uso de detalles técnicos del

sistema operativo y de la máquina. Por último cabe destacar que la mayoría de

los virus existentes no están escritos a partir de cero, sino que son variaciones

de virus ya creados. Esto es debido a que es más fácil crear un virus a partir de

otro ya existente que partiendo desde cero. Además, es muy frecuente que

unos virus copien las técnicas que aparecen en otros.

42



14.3. HISTORIA DE LOS VIRUS

El principio para descubrir el origen de los virus se encuentra en una serie de

articulos publicados en la revista americana "Scientific American", firmados por

A. K. Dewdney. El primero de la serie , fechado en mayo de 1984 se titulaba "El

juego de la guerra nuclear", y se trataba de 2 programas hostiles que

entablaban, sin ayuda externa, una lucha hasta la destruccion, solo podia

quedar uno, el nombre original de ese juego era "Core Wars" y es el

antepasado directo del "Red Code" y otros.

Dewdney no sabia el alcance que tendria su juego que rapidamente fue

utilizado como base para la creacion de otros basados en el, así poco a poco

se fue llegando a lo que se conocio como "virus informático" hasta el punto de

que es acusado de haber sido su precursor.

En 1989 Dewdney se defiende de las acusaciones con otro articulo en el cual

dice que con su transparencia informativa quiere estimular la investigación en

ese campo pero sin fines dañinos, presenta además una argumento de peso y

dice textualmente: "las descripciones de virus, incluso las más detalladas, no

pueden utilizarse en la construcción de un programa maligno excepto por un

experto. Una persona con conocimientos de ASM no necesita la lectura de un

articulo para crear un programa destructivo"

Después de sentar estas bases, y sin encontrar motivos para no hacerlo,

realiza una detallada explicación de los programas virus y se manifiesta de

acuerdo con las teorías de Cohen, referentes a la imposibilidad de crear un

programa que detecte todo tipo de virus (aunque en 1997 McAfee dice lo

contrario)

23 Sortilegio, Virus. www.elhacker.net

43



En 1982 se creo el primer virus informático en una universidad de EstadosUnidos. Un estudiante creó un programa para un trabajo de la universidad el

cual se replicaba continuamente hasta un punto. Lo que el estudiante no sabia

era que el programa contenía un error, el bucle no paraba, y al ejecutarlo sobre

saturaba al ordenador. Este virus se difundió sobre toda la red de la

universidad de forma involuntaria y así bloqueo la mayoría de los ordenadores.

Los dueños de la universidad mantuvieron este suceso en secreto para no

perder prestigio, y hasta el alumno creador de este fue perdonado.

El primer contagio masivo de microordenadores se dio en 1987 a través del

MacMag virus también llamado Peace Virus sobre ordenadores Macintosh, la

historia según se cuenta fue así:

Dos programadores, uno de Montreal, Richard Brandow, y otro de Tucson,

Drew Davison, crearon un virus y lo incluyeron en un disco de juegos que

repartieron en una reunión de un club de usuarios. Uno de los asistentes, Marc

Canter, consultor de Aldus Corp., se trajo el disco a Chicago y contaminó su

ordenador. Al realizar pruebas del paquete Aldus Freehand contaminó el disco

maestro que posteriormente devolvió a la empresa fabricante, allí la epidemia

se extendió y el programa se comercializó con el virus incluido. El virus era

bastante benigno, el 2 de Marzo de 1988 (primer aniversario de la aparición de

Macintosh II) hizo público en la pantalla un mensaje pidiendo la paz entre lospueblos, y se destruyo a si mismo. Existe una versión de este virus que se

detectó en alguna red de correo electrónico de IBM y al que se denomina IBM

Christmas card o Xmas que felicita el 25 de Diciembre.24

14.4. TIPOS DE VIRUS

44



14.4.1. VIRUS DE BOOT

Como su nombre indica, los virus de esta clase utilizan los sectores de

arranque y la tabla de partición para ejecutarse y tomar el control cada

vez que el ordenador arranque desde un disco contaminado.

Una vez el virus se encuentra en la memoria, el virus recibirá el control

del ordenador cada vez que alguien trate de leer o escribir en alguna de

las unidades. Cuando el sistema operativo detecta algún cambio de unaunidad de disco, siempre necesita leer el sector de arranque del disco

presente en la unidad para determinar las características del nuevo

disco. El sistema operativo suele utilizar los servicios de lectura del disco

para leer el sector arranque, el cual estará infectado por el virus. En

consecuencia, el virus es consciente de que quiere acceder al boot de

un disco, un sistema que posiblemente no esté infectado.

Cada vez que se produzca una solicitud de acceso a una unidad de

arranque del disco, el virus comprobará la letra de la unidad, para saber

si se trata de un disquete. Si no es una disquete, el virus cederá el

control a los servicios de discos originales, para que realicen su trabajo

normalmente. En caso contrario, el virus toma precauciones para que las

prestaciones del disco no desciendan. Si cada vez que se leyera un

sector cualquiera de un disquete, el virus comprobase si el sector boot

del mismo ya está contagiado, habría un gran aumento del número de

desplazamientos de las cabezas del disco y un gran descenso en las

prestaciones del sistema. El virus permanecerá inactivo hasta que pueda

llevar a cabo su tarea sin ser detectado.

Cuando el sector que se pretende leer es el lector boot de un disquete,

el virus entra en acción. El sector es leído en memoria, y antes de

24 http://www.siempreon.com/hack/Virus/VHisto/vhisto.html

45



regresar al programa que ha realizado la solicitud de lectura, el virus

revisa la imagen del sector almacenada en memoria, para ver si el

disquete ya estaba infectado por él. Si lo estaba, el virus cederá el

control al programa y se retirará hasta la siguiente llamada.

En el caso de que el sector leído esté limpio, comenzará el proceso de

infección. Lo primero que hará, será buscar un sitio en el disquete para

guardar una copia del boot original. Otros lo guardan en la última

posición del disquete, destruyendo la información que estuviese

almacenada si el disquete está lleno.

Después de guardar el boot original, el virus escribe su código en el

sector boot del disquete preservando la información sobre la estructura

del mismo. Como esta escritura se produce inmediatamente después de

una lectura, el usuario no considerará anormal el encendido de la unidad

de disquete. Además el tiempo que tarda en escribirse en un sector del

diskete es mínimo.

14.4.2. VIRUS DE FICHERO

Los virus de esta clase, utilizan los ficheros ejecutables como medio de

transmitirse y tomar el control. Similarmente a lo que ocurre con los

sectores boot infectados, un fichero ejecutable (programa) infectado, es

completamente inofensivo mientras que no se active.

Lógicamente, los programas están para ser ejecutados, por lo que tarde

o temprano, entrará en funcionamiento.

Cuando se pone en marcha un programa infectado, las primeras

instrucciones que se ejecutan pertenecen al código del virus, por esto

quien toma el control del ordenador es el virus y no el programa.

46



Una vez que el virus toma el control, pueden pasar numerosas cosas

dependiendo de las características de cada virus. Podemos decir que

existe dos vías de comportamiento dependiendo de si se trata de un

virus residente o de acción directa.

Virus de ficheros residentes: nada más tomar el control, el virus suele

comprobar si se dan las condiciones para ejecutar su rutina de ataque.

Si no ha llegado la hora de actuar, el virus reserva una pequeña porción

de la memoria para poder "residir". El número de bytes de memoria que

un virus residente necesita reservar está en función de su tamaño, queel la mayoría de los casos está en el rango de 200 a 5000 bytes. Una de

las formas de confirmar la presencia de un virus en un sistema consiste

en obtener un mapa de las asignaciones de memoria y comprobar que

todos los bloques reservados tengan un propietario conocido. Cuando el

virus ya está correctamente situado en memoria, con ciertos servicios

del sistema interceptado, sólo le queda poner en funcionamiento el

programa original para que la apariencia de normalidad sea absoluta. Esen este momento cuando empieza la segunda parte, la infección de

otros ficheros y en muchos casos el comienzo de una serie de

comportamientos extraños del ordenador como por ejemplo: caída de las

letras de la pantalla, sonidos, mensajes de error sin sentido,

desaparición de ficheros, etc. La gran mayoría de los virus residentes

infectan a otros programas en el momento en que son ejecutados o

copiados.Virus de fichero de acción directa: estos virus no permanecen en

memoria después de ser ejecutados y por tanto, tampoco interceptan los

servicios del sistema. Estos tipos de virus se ven obligados a replicarse

en el momento en que son ejecutados. Cuando se ejecuta un fichero

infectado por un virus de acción directa, el virus que lleva acoplado toma

el control. Lo primero que hace, es comprobar si se dan las condiciones

para activar su rutina de ataque. Si no se dan, el virus puede buscar

47



víctimas para infectarlas. Al terminar su tarea de infección, el virus cede

el control al programa principal para que todo vuelva a parecer normal.

14.4.3. VIRUS DE SOBREESCRITURA

La característica principal de este tipo de virus, es que no respetan la

información contenida en los programas que son infectados, es decir,

que el programa que infectan queda inservible. Otra característica es

que al infectar un programa, éste nunca aumentará su tamaño a no serque el código del virus ocupe más bytes que el del programa infectado.

Aunque el programa original queda destruido, la copia del virus presente

en el programa funciona perfectamente. Cuando el programa sea

ejecutado, el virus se encargará de sacar un mensaje de error extraño,

por lo que no se puede ejecutar el programa original.

La única forma de desinfectar o limpiar un programa infectado por unvirus de sobre escritura es borrarlo, y sustituirlo por una copia original del

mismo.

14.4.4. VIRUS DE COMPAÑIA

Este tipo de virus, que pueden ser residentes o de acción directa,

aprovecha una característica del intérprete de manatos del DOS, por la

cual si en un mismo directorio coexisten un programa COM y otro EXE

con el mismo nombre, siempre será ejecutado en primer lugar el COM.

Las ventajas que aporta a un virus infectar programas de esta manera

son evidentes, ya que no tiene que modificar ni restaurar ningún dato del

programa original. Para desinfectar este tipo de virus, basta con borrar

48



los programas ocultos donde se encuentra el virus y entonces los

programas originales quedarán libres de estos virus.

14.4.5. VIRUS COMPRESORES

Este tipo de virus, que pueden ser residentes o de acción directa,

comprimen los ficheros que infectan. Una consecuencia de que los

ficheros sean infectados de esta manera, es que a los programas

antivirus les será más difícil detectarlos.

14.4.6. VIRUS DE ENLACE DIRECTO

Los virus de este tipo, emplean una técnica muy sofisticada para

infectar ficheros. Cuando un virus infecta un fichero, cambia en la

entrada de directoria de ese fichero el campo o dato donde se indica

cual es el número del primer cluster del fichero por el número del primer

cluster del virus, almacenando en un área sin usar de la misma entrada

de directorio el número original.

Este tipo de virus, no se mueve de su posición en el disco y hace que

todos los programas infectados tengan como comienzo la misma copia

del virus.25

14.5. VIRUS FAMOSOS

-- En 1986, dos hermanos, Amjad y Basit Farooq Alvi, crearon lo que se cree

fue el primer virus de PC para infectar los discos blandos. Apodado el virus

"Pakistani Brain" (Cerebro Pakistaní), fue diseñado para promocionar su

compañía de software, Brain Computer Services, en Lahore, Pakistán.

49



-- El primer gusano, un virus que se propaga a través de Internet, fue lanzado

el 2 de noviembre de 1988 por Robert Morris Jr., un graduado de la

Universidad de Cornell. El "Gusano Morris" aprovechó una falla en el sistema

operativo Unix y se propagó en cuestión de días a cerca de 6.000

computadoras centrales, o entre 5 y 10 por ciento del total de Internet en ese

momento. Morris, el hijo de un experto en seguridad informática en la Agencia

Nacional de Seguridad estadounidense, fue condenado por violar la Ley de

Abuso y Fraude Informático.

-- En 1989, un adolescente de Sofía, Bulgaria, lanzó el virus "Dark Avenger",

que destruyó datos y contenía referencias a letras de la banda de rock metálico

Iron Maiden. También creó el primer virus polimorfo, o que cambia de

características para evitar ser detectado.

-- Ching Ing-hau, un sargento del ejército taiwanés, creó el virus "Chernobyl",

también llamado CIH, en 1998. Fijado para activarse en el aniversario del

desastre nuclear de Chernobyl el 26 de abril, trataba de borrar el disco duro de

la computadora infectada. Los expertos dijeron que lo diseñó para vengarse de

la industria antivirus después de que el ejército fuera infectado por un virus.

-- En 1999, David Smith, de Nueva Jersey, creó el virus "Melissa", que se

propagó por correo electrónico e infectó los documentos de Word de Microsoft.

Smith tenía dos alias, "Vicodin" para su escritura del virus, y "Doug

Winterspoon" para cuando se hacía pasar por un legítimo experto en virus.

Smith no fue a la cárcel pero sigue prestando servicio comunitario.

-- El estudiante universitario filipino Onel de Guzmán lanzó el virus de E-mail

"IloveYou" o "LoveLetter" en el 2000. El virus engañaba a la gente para que

abriera un archivo adjunto enviado por correo electrónico e instalaba una

25 http://www.dragones.org/Biblioteca/Articulos/virus3.html

50

http://www.dragones.org/Biblioteca/Articulos/virus3.html

http://www.dragones.org/Biblioteca/Articulos/virus3.html



especie de detector de tecleo para poder tener acceso a constraseñas en las

máquinas infectadas.

-- Jan De Wit, de Holanda, diseñó el virus "Anna Kournikova" en el 2001

usando el alias "On the Fly". El gusano embaucaba a los usuarios de E-mail

para que hicieran clic en el archivo adjunto que supuestamente tenía una foto

de la tenista rusa Kournikova. De Wit fue acusado de propagar datos a través

de redes de computadora con la intención de causar daño.

-- El gusano "Blaster" y el virus del correo electrónico "Sobig" inhabilitaron

computadoras y afectaron el tráfico de Internet en todo el planeta en agosto y

septiembre del 2003. Sobig.F se convirtió en uno de los virus más propagados

de la historia, incapacitando las redes corporativas de correo electrónico y

llenando las bandeja de entrada de las computadoras de los usuarios con un

exceso de mensajes antes de autoreproducirse y atacar a más víctimas

potenciales.

El gusano "Blaster" o "LovSan" se propagó aprovechando una falla de

seguridad de Windows.

-- "MyDoom" - también conocido como "Novarg" o "Shimgapi" se ha propagado

con rapidez, principalmente en Norteamérica, representado uno de cada nueve

mensajes a nivel mundial. El volumen de mensajes atascó las redes y pareció

concentrase en entornos corporativos. Posteriormente surgió una variante que

apunta al sitio de Internet de Microsoft Corp., dijeron el miércoles expertos de

seguridad. 26

14.6. CABALLOS DE TROYA O BACKDOORS

26 http://www.cnnenespanol.com/2004/tec/01/29/virus.famosos.reut/index.htm

51



Había una vez un Fuerte impenetrable, las puertas cerradas con cerca de 100

vigilantes cada 10 metros, algo imposible de entrar. Pero los ingeniosos

soldados enemigo pensaron en un caballo de madera en donde meterían todos

los soldados, y les harían creer a los vigilantes que era un regalo para el rey,

bueno los vigilantes entraron el bonito caballo de madera y cuando estaba

adentro se bajaron 100 soldados del caballo y conquistaron el fuerte. Esa es la

historia de Troya, por eso se llaman troyanos.

Lo que quiere decir es que una maquina es impenetrable pero si nos metemos

haciendo le creer que es un regalo él lo aceptara y cuando el intruso esta

adentro abre la puerta y pudes entrar.

Los Troyanos Backdoor, han empezado a consolidarse como la temible nueva

generación de vandalismo cibernético, debido a su modalidad de incursión

ilegal en servidores u ordenadores, tomando el control de los sistemas

comprometidos, con los consiguientes daños que ello implica, nada menos que

a través de cualquiera de los 65536 puertos TCP/IP.

Los Troyanos Backdoor no son esencialmente virus, sino "Herramientas de

Control Remoto".

Aunque su existencia no es nueva, ya que desde hace mucho tiempo se

comercializan software legal para controlar redes LAN en forma remota, como

PC-Anywhere o Remote-Anything entre muchos otros, también se distribuyen

"Freeware" que cumplen similares cometidos.

A pesar que diariamente se propagan virus contenidos en archivos infectados

dentro de mensajes de correo, no son pocos los usuarios que motivados por el

desconocimiento, la curiosidad, o por no tener actualizados sus sistemas

operativos, navegadores, software de correo o antivirus, permiten que esta

modalidad todavía sea la más utilizada por los creadores de virus.

52



En lo que va del año 2002 se han reportado una alarmante cantidad de

Troyanos/Backdoor y se estima que existen mas de 5,000 troyanos creados

desde 1997, los cuales pueden ser monitoreados y controlados a través de un

software Cliente asociado. En muchos portales de hackers se distribuyen estos

ilegales sistemas, incluyendo las potentes herramientas de "barrido" de puertos

TCP/IP que permiten detectar las "puertas traseras" abiertas, mediante las

cuales pueden ingresar uno de sus componentes.

Los Troyanos/Backdoor de acceso remoto tienen dos componentes principales:

el programa Servidor, que se instala en el sistema de la víctima y el programa

Cliente que actúa en el ordenador del atacante. Ambos programas establecen

una relación Cliente/Servidor entre el computador infectado y el del atacante.

Por medio de estos troyanos el atacante puede ejecutar remotamente en los

sistemas infectados las mismas acciones que el administrador de un Servidor o

usuarios de las PC involucradas.

Troyano/Backdoor Cliente

El Cliente se encuentra en el equipo del atacante y generalmente tiene una

interfaz con opciones y desde las cuales puede ejecutar las funciones que se

hayan programado para que interactúen con los sistemas de las víctimas.

Troyano/Backdoor Servidor

El Servidor que se instala en el sistema de la víctima, es un programa que

ocupa muy poco espacio y está asociado al Cliente, para poder recibir las

instrucciones o través del mismo, ejecutar las funciones que el intruso desee. 27

27 Christopher Klaus, Backdoors. 1997

53



14.6.1. MEDIOS DE TRANSMICION

Los troyanos/Backdoor se pueden transmitir por diversos medios ya que la

seguridad de la Internet no tiene los medios para controlar estos ataques y

seguir funcionando, los métodos más comunes de intrusión de un Backdoor

son los siguientes:

14.6.1.1. MENSAJES DE CORREO

Son la forma más fácil de propagación por medio de un archivo anexado al

mensaje y si el receptor comete el error de ejecutarlo, instalará el Servidor,

permitiendo que el intruso pueda controlar el o los equipos infectados.

14.6.1.2. TELNET y SSH

Funcionan en modo Cliente/Servidor y permite ejecutar comandos en el equipoinfectado.

Telnet es un programa de emulación de terminal para las redes TCP/IP. Opera

en una computadora y la conecta con un servidor de la red. A partir de ese

instante, un usuario puede ingresar comandos a través del programa Telnet y

cada instrucción será ejecutada como si la hubiera ingresado directamente en

la consola del servidor o el equipo asignado.

14.6.1.3. REDES COMPARTIDAS

Las redes compartidas, mas precisamente las redes p2p, son un riesgo en

potencia para la difusión de virus, estas redes permiten todo tipo de archivos,

por lo tanto es muy posible encontrar virus. Redes como Kazaa, E-mule, E-

donkey, Ares, son redes que tienen un riesgo potencial.

54



Ejemplo típico de intrusión a la red Kazaa a través de Telnet:

telnet 1214GET / HTTP/1.0

HTTP/1.1 200 OK

Content-Length: 2467

Accept-Ranges: bytes

Date: Tue, 20 Aug 2002 14:14:36 GMT

Server: KazaaClient Aug 20 2002 17:18:29

Connection: close

Last-Modified: Sun, 30 Jun 2002 14:14:36 GMT

X-Kazaa-Username:

X-Kazaa-Network: MusicCity

X-Kazaa-IP: 200.44.XX.XXX:1214

X-Kazaa-SupernodeIP: 24.168.48.42:1214

Content-Type: text/html

14.6.1.4. Otros servicios de Internet

(HTTP, FTP, ICQ, Chat, Mensajería Instantánea)

Es posible visitar una página Web en Internet, la misma que descargue

automáticamente un troyano Backdoor Servidor y el sistema quedará infectado,

bajo control del troyano Cliente. Del mismo modo podrá ocurrir en servidores

FTP. Por lo general estos servidores, al ser reportados, serán deshabilitados

por su ISP, en caso contrario el Proveedor de Servicios de Internet será

merecedor a una sanción.

La popularidad del uso del Chat o de los servicios de Mensajería Instantánea,

como MSN Messenger, Yahoo Messenger, Netscape o AOL Messenger, entre

55



otros, han hecho posible la transmisión de virus, macro virus, gusanos,

troyanos y Backdoors, entre los usuarios conectados en una misma sesión.

Usuarios de una misma red local o por medio de disquetes o cd's.28

14.7. TROYANOS FAMOSOS

Back Orifice: Este troyano mejor conocido como BO, es uno de los troyanos

más populares distribuidos en la red, y de los mas usados por los antiguoslammers y script kiddies. BO fue creada como una herramienta de

administración remota para sistemas operativos Windows 9x. Esta herramienta

fue presentada en 1998 a la convención de hackers "Black Hat". Esta

herramienta permite el re inicio de un sistema remoto, tiene la capacidad de

añadir y borrar claves del registro, enviar y recibir archivos, ver contraseñas

ocultas y crear cuentas de archivos.

Net Bus: Este troyano fue creado por Carl-Frederic Neikter en 1998. Esta

herramienta es muy parecida al BO, pero contiene un interfaz gráfico mas

sofisticado, al igual que sus herramientas. La diferencia entre estos dos reside

en que el Net Bus utiliza TCP y el BO UDP para conectarse al sistema remoto.

SubSeven: Está programado en Borland Delphi. Compromete la seguridad del

sistema infectado, al habilitar una puerta trasera por la que un atacante puede

tomar el control de la computadora de su víctima. Esta versión utiliza por

defecto el puerto TCP/11142. Cuando se ejecuta, generalmente engañando al

usuario y disfrazado en alguna supuesta herramienta, se copia a sí mismo en el

directorio de Windows. Este es el troyano más famoso, su primera versión

publica se desarrollo en 1997.29

28 Christopher Klaus, Backdoors. 199729

Diario de un hacker. Confesiones de hackers adolescentes DanVerton Mc Graw Hill, 1999

56



15. OCULTISMO DE VIRUS

El Antivirus, para muchos hackers llamado el segundo enemigo natural,

después del firewall, es la amenaza de la vida del virus dándose cuenta de la

presencia del virus y avisando al usuario al mismo tiempo que es borrado del

ordenador. Por esto lo crackers inventaron distintas técnicas para poder

engañar a los antivirus y así poder continuar con sus maléficos planes. En

1997, la compañía McAfee virus scan, al ver el "spam" de virus que sedifundían en la red invento un sistema de eliminación: El antivirus. Un año mas

tarde los crackers del mundo vieron la amenaza de estos antivirus hacia sus

creaciones y por eso, desde ese momento, se emprendieron en la tarea de

crear métodos de violación a estos. Principalmente se crearon 5 técnicas, que

aun siguen siendo las más populares para el uso de los crackers:

Técnicas de auto encriptación, Mecanismos Polimorfos, Armouring, Stealth y la

más importante, el Tunneling.

15.1. TUNNELING

Para entender como funciona esta técnica, basta saber como trabaja

este tipo de antivirus. Él módulo residente queda colgado de todas las

interrupciones usualmente usadas por los virus (INT 21, INT 13, a veces

INT 25 Y 26) por eso cuando el virus intenta llamar a INT 21, por

ejemplo, para abrir un ejecutable para lectura/escritura, y luego

infectarlo, él antivirus produce una alarma, pues los ejecutables no son

normalmente abiertos para escritura. Y así con todas las llamadas

típicas de los virus. En cambio, cuando se hace una llamada común y

corriente, el antivirus no se alarma y la deja pasar, llamando a la INT 21

original. Un virus con tunneling, entonces, antes de llamar a ninguna

función ni hacer nada, intenta obtener la dirección absoluta de este INT

21 original, que esta en alguna parte de la memoria del antivirus

57



residente. Una vez que obtiene esta dirección, accede al DOS por medio

del, sin llamar al antivirus. Y así, efectivamente, pasa por debajo, lo

"tuneléa". ¿Cómo se hace esto?

Existen dos formas fundamentales de obtener esta dirección. La primera,

y la mas usada, es utilizando la interrupción de trace (INT 1) y la trap

flag. Que son usadas por los DEBUGGERS para atravesar el código

orden a orden hasta hallar lo que se busca. La segunda, es hacer un

simple scanning del código, byte a byte, hasta hallar la dirección.

La primera forma de tunneling es usada por todos los virus que usan

esta técnica, como por ejemplo, el Predator II o el Yankee Doodle. La

segunda no se usa en ningún virus, pero es la que usa Kohntark en su

celebre Kohntark Recursive Tunneling Toolkit.30

15.2. STEALTH

Un virus "Stealth" es aquel que cuando está activado esconde las

modificaciones hechas a los archivos o al sector de arranque que al que

está infectado. Esta técnica hace uso de todos los medios posibles para

que la presencia del virus pase totalmente desapercibida, anulan efectos

tales como el tamaño de los archivos, los cambios de la fecha, hora o

atributo, hasta el decremento de la memoria RAM.

Un ejemplo simple lo constituye uno de los primeros virus de nombre (c)

Brain que infectaba el sector de arranque, monitoreando los I/O (entrada

y salida) y re direccionando cualquier intento de lectura de este sector

infectado.

30 http://deco-hack.iespana.es/deco-hack/manuales/Tunneling.txt

58



Cuando un virus "Stealth" está activo en memoria cualquiera de estos

cambios pasarán desapercibidos al realizar un DIR, por ejemplo, ya que

el virus habrá tomado control de todo el sistema.

Sin embargo, si se arranca el equipo desde un disquete de sistema

limpio de virus y con la protección contra escritura, al efectuar la misma

orden DIR se detectarán los cambios causados a los archivos

infectados.

Un virus de boot programado con esta técnica reemplaza perfectamente

al verdadero sector de arranque, que tiene apenas 512 bytes y al cual

mueve hacia otro lugar del disco pero que con una instrucción de salto

vuelve otra vez a utilizarlo.

Hoy día es posible crear virus con la técnica Stealth, en cualquier

lenguaje de programación, además del Assembler o por medio de los

Generadores Automáticos de Virus, Gusanos y Troyanos que se

difunden en muchos portales denominados "Underground".31

15.3. AUTO ENCRYPTACIÓN

Esta técnica muy utilizada, consigue que el virus se encripte de manera

diferente cada vez que se infecta el fichero, para intentar pasar

desapercibido ante los antivirus. 32

15.4. MECANISMOS POLIFORMICOS

Es una técnica para impedir ser detectados, es la de variar el método de

encriptación de copia en copia. Esto obliga a los antivirus a usar técnicas

31 http://www.perantivirus.com/sosvirus/general/stealth.htm

59

http://www.perantivirus.com/sosvirus/general/stealth.htm

http://www.perantivirus.com/sosvirus/general/stealth.htm



heurísticas ya que como el virus cambia en cada infección es imposible

localizarlo buscándolo por cadenas de código. Esto se consigue

utilizando un algoritmo de encriptación que pone las cosas muy difíciles

a los antivirus. No obstante no se puede codificar todo el código del

virus, siempre debe quedar una parte sin mutar que toma el control y esa

es la parte más vulnerable al antivirus.

La forma más utilizada para la codificación es la operación lógica XOR.

Esto es debido que esta operación es reversible:

2 XOR 5 = 3

3 XOR 2 = 5

En este caso la clave es el número 9, pero utilizando una clave distinta

en cada infección se obtiene una codificación también distinta.

Otra forma también muy utilizada consiste en sumar un numero fijo a

cada byte del código vírico.33

15.5. ARMOURING

Mediante esta técnica el virus impide que se examinen los archivos que

él mismo ha infectado. Para conocer más datos sobre cada uno de ellos,

éstos deben ser abiertos (para su estudio) como ficheros que son,

utilizando programas especiales (Debuger) que permiten descubrir cada

una de las líneas del código (lenguaje de programación en el que están

escritos). Pues bien, en un virus que utilice la técnica de Armouring no

se podrá leer el código. 34

32 http://www.zonavirus.com/Tecnicas/Tecnicas_de_autoencriptación.asp33

http://www.zonavirus.com/Tecnicas/Mecanismos_Polimorficos.asp

34 http://www.zonavirus.com/Tecnicas/Armouring.asp

60

http://www.zonavirus.com/Tecnicas/Tecnicas_de_autoencriptaci%E3%AE%AEasp


http://www.zonavirus.com/Tecnicas/Armouring.asp

http://www.zonavirus.com/Tecnicas/Armouring.asp


http://www.zonavirus.com/Tecnicas/Tecnicas_de_autoencriptaci%E3%AE%AEasp



16. PIRATERIA POR MAIL

No sé en realidad que pretenden las compañías o la gente al mandar un mismo

E-mail a distintas direcciones, tal vez propaganda o informar a la gente. Un

usuario de Internet común como muchos han recibido algún E-mail con

propaganda de un producto, así sea algún método de cómo ahorrar dinero,

algún producto para la casa o pornografía. Estos mensajes son

verdaderamente molestos ya que nos quita tiempo al para ver si es de algunapersona importante o con el solo hecho de borrarlos, también estos saturan

nuestro espacio de correo electrónico impidiendo que nos llegue alguna

información importante. Para dicha de todos ustedes, estas acciones son

ilegales y se llaman "mail spaming". El mail spaming es el envío masivo de

correos electrónicos con alguna propaganda o algún virus, en esta categoría

también entran las cadenas de correo electrónico que nos mandan nuestros

compañeros o conocidos.

Los antivirus y los clientes de correo intentan hacer lo posible por evitar esto

con una técnica llamada control de flujo de spam, o filtros de spam. Lo que

hace esta técnica es redireccionar estos correos a una carpeta especifica, y

algunos solo borran el correo que acabo de llegar. ¿Pero como pueden

distinguir un spam de un E-mail verdadero? Esto no es tan fácil, y nadie ha

podido encontrar una cura a este problema, pero si existe una técnica que

elimina la mayoría de estos. Los servidores de E-mail hacen una recopilación

de las características más importantes de los spam mails y los bloquean.

Aunque esta técnica no es totalmente efectiva contra todos los spam, y hay

veces que hasta bloquean E-mails importantes, es lo más efectivo para librarse

de estos molestos mensajes y de los virus que rondan por los E-mails. Esta

sección esta dedicada a explicar mas a fondo lo que en realidad son estos.

61



La idea del sabotaje en servidores de E-mail surgió cuando un cracker creo una

aplicación para enviar múltiples correos con una dirección anónima y así

saturar la cuenta de correo de su víctima, esta aplicación fue llamada mail

bomber, que después fue publicado en la red para el uso común de este, aquí

fue cuando se creo el primer programa de spaming. Un mail bomber es un

programa para enviar a una cuenta de correo electrónico una cantidad de

mails determinada para saturar la cuenta o simplemente para enviar algunos

que se tome el trabajo de borrarlos. Generalmente fue creado en Visual Basic

6, con 10 winsocks (sockets de Windows) que sirven para establecer

conexiones a servidores usando Windows, que en este caso se utilizan para

conectarse a distintos servidores de mails SMTP (simple mail trasnsfer

protocol) .

16.1. SPAM MAILING

Originalmente 'Spam' se llamo al jamón con especias (Spiced Ham) producidopor Hormel en 1926 como el primer producto de carne enlatada que no

requería refrigeración. Esta característica hacia que estuviera en todas partes,

incluyendo en los ejércitos americanos y rusos de la segunda guerra mundial.

Se llama spam a la práctica de enviar indiscriminadamente mensajes de correo

electrónico no solicitados. Generalmente, se trata de publicidad de productos,

servicios o de páginas Web.

Actualmente, se calcula que el 30% de los mails (unos 500 millones de mails

por día) que se envían son no solicitados, o sea, spam. Esto quiere decir que

en el momento en que estás leyendo este artículo se están enviando varios

millones de mails no solicitados.

El spam es perjudicial para todos, hasta para la empresa que lo envía.Por lo

general, las direcciones son robadas o compradas.

62



Esta gente aclara, con gran dignidad, que no copia ni vende software. También

ponen en sus mensajes (que dicho sea de paso son spam porque yo no los

solicité) "no compre bases truchas" "todas nuestras bases cuentan con

direcciones reales y activas".

Aunque hay algunos spammers que envían solamente un mensaje, también

hay muchos que te bombardean todas las semanas con el mismo mensaje con

archivos adjuntos sobre la necesidad de filtrar el agua de la ducha con un

análisis de varias páginas, que nadie lee. De todos modos, si cada persona que

abre una página web te va a enviar un mail, el correo electrónico sería

absolutamente inservible.

Tampoco es agradable que envíen un mensaje en formato HTML

promocionando un nuevo servicio de distribución de videos, exclusivo para la

ciudad de Medellin, cuando el usuario vive a miles de kilómetros de distancia.

Esto, además de ofrecer una imagen negativa sobre la empresa que envía el

spam, muestra la poca utilidad de las bases de datos compradas.

Por otro lado los spammers invocan una supuesta ley por la cual el mensaje

que están enviando no puede ser considerado spam si tiene una forma de ser

removido.

Esto es una gran mentira. Esa ley no existe. Además, la mayoría de las veces

si uno contesta el mail pidiendo ser removido de la lista, lo único que hace es

confirmar que su dirección existe. Por lo tanto, es conveniente no responder

nunca a un mensaje no solicitado. Lo mejor es aplicar filtros o reglas de

mensaje para evitar recibir mensajes de esas direcciones. Otra opción muy

buena, es quejarse al postmaster del que envía el spam.

16.2. HOAXES

63



Los hoaxes (broma, engaño) son mensajes de correo electrónico engañosos

que se distribuyen en cadena. Algunos tienen textos alarmantes sobre

catástrofes (virus informáticos, perder el trabajo o incluso la muerte) que

pueden sucederte si no reenvías el mensaje a todos los contactos de tu libreta

de direcciones. También existen hoaxes que tientan con la posibilidad de

hacerte millonario con sólo reenviar el mensaje o que apelan a la sensibilidad

invocando supuestos niños enfermos. Hay otros que repiten el esquema de las

viejas cadenas de la suerte que recibíamos por correo postal que te auguran

calamidades si cortas la cadena y te prometen convertirte en millonario si la

sigues. Para lograr la continuación de la cadena se utiliza psicología o

ingeniería social.

Por eso lo mejor es no reenviar estos mensajes, rompe las cadenas.

Básicamente, podemos dividir los hoaxes en las siguientes categorías:

Alertas sobre virus incurables

Mensajes de temática religiosa

Cadenas de solidaridad

Cadenas de la suerte

Leyendas urbanas

Métodos para hacerse millonario

Regalos de grandes compañías

Hotmail y Messenger:

Passwords de Hotmail Hotmail se cierra

Quitan el Messenger Pérdida de casilla de Hotmail

Alerta!!!!! Atención!!!!! Hotmail NO cierra

Otros:

García Márquez Test de personalidad

Deforestación del Amazonas Falso curso de Cisco

La coima del siglo Base nuclear norteamericana en Tierra del

Fuego

64



El truco del !0000 contra los virus, es un HOAX SCAM: Estafa a la

nigeriana

Manda un mail a 11 personas y aparecerá un video en tu pantalla

Petición para evitar la Tercera Guerra Mundial

El poema "Instantes" no es de Borges, Rock, satanismo,

mensajes ocultos, etc.

Finalmente, reproducimos algunos mensajes que no son hoaxes sino que son

mensajes reales pero que, por distintas causas, no deben ser reenviados.

Hay otros mensajes que no nacen como hoaxes pero pueden ser considerados

como tales:

- Poemas y mensajes de amor y esperanza

- Mensajes para unirte a programas de afiliados

- Chistes y fotos que circulan en cadena

Características Objetivos Consecuencias:

- No tienen firma.

- Algunos invocan los nombres de grandes compañías.

- Piden al receptor que lo envíe a todos sus contactos.

- Te amenazan con grandes desgracias si no lo reenviás.

- Conseguir direcciones de mail.

- Congestionar los servidores.

- Alimentar el ego del autor.

- Hacen perder valor a cadenas creadas por gente que realmente lo necesita.

16.3. OBTENCION DE CONTRASEÑAS

65



Este es el tema mas buscado por los lammers en la red, como obtener

contraseñas de correos electrónicos ajenos. Pero este tema no solo le

concierne a los lammers, sino también a los servidores de correo electrónico y

a los usuarios. Esta pelea de la seguridad de los E-mail se ha convertido en

una guerra sin fin entre crackers y lammers contra los dueños de las

compañías de correo electrónico. En la actualidad hay muchas defensas contra

estos ataques, pero al mismo tiempo muchos fallos de seguridad o "bugs".

Por mi experiencia en el submundo he encontrado varias formas de penetrar en

la seguridad de los correos electrónicos y de descubrir contraseñas de cuentas

de correo ajenas. Son seis principales formas de acceder a esta información:

Uso de KeyLoggers: El KeyLogger fue principalmente utilizado en varias

universidades con el fin de controlar la actividad de los

alumnos. Un KeyLogger es una aplicación que guarda toda

la información que ha sido escrita en el ordenador para así

poder acceder a esta y probar el posible uso delictivo de

estos. Pero los crackers utilizaron este método para

encontrar las contraseñas de sus víctimas. Cuando la

víctima iniciaba una sesión de algún sistema operativo, o

cuando entraba a su correo electrónico, este tenia que

escribir su contraseña, la cual quedaba guardada en el

KeyLogger. Esta información quedaba al alcance del

lammer el cual entraba al ordenador y recogía la

información. Ahora esta técnica es muy utilizada en

colegios y universidades para obtener las contraseñas de

sus víctimas.

Troyanos: Muchas de estas aplicaciones contienen un KeyLogger

adentro que le permite al usuario conseguir una contraseña

de alguna víctima que este a distancia. Al meter el troyano,

66



el lammer tiene total acceso al ordenador de la víctima y

así puede recoger la información escrita mas tarde.

Ingeniería social: Esta es de las técnicas más sencillas, ya que no requieren

de mucho conocimiento de ordenadores. El lammer,

utilizando un "anónimos mailer", un programa que envía un

correo electrónico con una dirección de correo falsa. Así

con una buena coartada el lammer podrá conseguir una

respuesta exitosa con la información de la víctima.

Xploits: En este caso, un xploit es una puerta falsa, es decir una

entrada al correo inexistente. Los lammers crean una copia

exacta de la pagina del servidor de correo la cual guarda la

información de la víctima y la reenvía al intruso, es decir,

cuando la víctima ingresa su cuenta de correo electrónico,

su información va a quedar guardada en la trampa que le

puso el intruso.

Pregunta secreta: Este es el método más fácil y más común de conseguir la

contraseña de algún usuario. Algunos servidores de correo

electrónico le dan la posibilidad al usuario de elegir una

pregunta y una respuesta secreta en caso de que olvide su

contraseña. Si el lammer conoce a su víctima este podrá

adivinar la respuesta secreta y así conseguir la contraseña

de la víctima.

Fuerza bruta: Este es el método más complicado pero el más efectivo,

hace unos meses descubrí un fallo de seguridad (bug) en

dos de los servidores de correo electrónico más

importantes, yahoo y hotmail. Al usuario ingresar de forma

errónea su contraseña tres veces su cuenta quedara

67



bloqueada al instante, pero si el usuario cierra la pagina

web del servidor de correo electrónico y la vuelve a abrir

tiene la posibilidad de escribir erróneamente su contraseña

un numero infinito de veces. Para esto, es posible crear un

programa que utilice Telnet para dirigirse al servido de

correo electrónico e ingresar una contraseña cualquiera,

después, el programa saldrá del servidor de correo

electrónico, volverá a ingresar y escribirá otra contraseña al

azar. El programa repetirá el proceso hasta llegar a una

contraseña acertada y ahí es cuando parara.

Forma fácil: Para que PORFAVOR no me escriban diciéndome “como

hackeo Hotmail” mandan un mail a la administración y listo

ellos les dan un link para que reseteen la contraseña. Por

favor, no contactarme para este tema.

17. CARDING

Ya explique esta técnica anteriormente, pero lo que pretendo hacer ahora es

dar una explicación mas a fondo de lo que se trata esto. Como dije antes esta

técnica no necesariamente necesita de un ordenador para que pueda ser

efectiva. Hay dos formas de utilizar esta técnica y sus derivadas, la primera es

sin utilizar un ordenador, y la segunda es utilizando los ordenadores.

La forma más simple de encontrar información de tarjetas de crédito es

utilizando el trashing. Esta técnica ya no es muy utilizada ya que el método de

utilizar maquinas que dejen carbones de tarjetas de crédito ya no es muy

común, pero aun así se encuentran. El Trashing consiste en obtener carbones

de tarjetas de crédito que son dejados por algunas maquinas al usuario pagar

68



con tarjetas de crédito. El mejor lugar para buscar carbones en la actualidad

son los distritos industriales, ya que para ellos la tecnología en tarjetas de

crédito no es de vital importancia. También, aunque sea más difícil, podremos

encontrar las copias de las facturas en algunas canecas de los distritos

comerciales. Otro lugar son las canecas de los cajeros electrónicos, en los que

se pueden conseguir los recibos de sus cuentas y ahí toda su información. Lo

más recomendable para hacer esto es llevar algunas herramientas para

destruir los candados de las canecas u otros mecanismos de seguridad en los

que puedan estar los carbones o los recibos.

Otra forma de conseguir la información de las tarjetas de crédito es viendo la

información de las tarjetas de compañeros o amigos que las descuiden en

algún lugar. La forma más efectiva de lograr obtener la información es por

medio de un keylogger (ver keylogger sección 6.B), al utilizar este programa, la

información de la tarjeta de crédito que la víctima escriba en el ordenador será

guardada.

Principalmente la información que se debe conseguir de una tarjeta de crédito

son: El nombre del usuario, la fecha de expiración, el numero de la cuenta, que

esta entre doce y dieciocho números, y el tipo de tarjeta (visa, american

express etc.)

Ya obtenidos los carbones o recibos, existen varias formas de usarlos, como

ordenando artículos por teléfono, haciendo llamadas a líneas especiales (líneas

calientes, adivinos, concursos, etc.), o utilizando Internet para hacer las

compras en línea. El uso más común hoy en día es la transferencia de dinero

de una cuenta hacia otra, con el número de cuenta y la clave, es fácil transferir

grandes sumas de dinero.

Actualmente la seguridad de las tarjetas de crédito es muy poca, y el agujero

de seguridad mas grande es uno mismo, los números de tarjetas de crédito son

69



difundidos por toda la red al hacer compras y los usuarios las dejan en

diferentes archivo, igualmente el pishing se volvió una moda entre la gente

maliciosa de la red.

18. Pishing

El "Pishing" es una forma de estafa bancaria, basada en el envío de mensajeselectrónicos fraudulentos.

Básicamente el "Pishing" es una forma de correo electrónico no solicitado, que

pretende obtener información confidencial mediante la suplantación de las

páginas de acceso a un servicio de banca electrónica.

Phishing es la capacidad de duplicar una página web para hacer creer alvisitante que se encuentra en la página original en lugar de la copiada.

Normalmente se utiliza con fines delictivos duplicando páginas web de bancos

conocidos y enviando indiscriminadamente correos para que se acceda a esta

página a actualizar los datos de acceso al banco.

En ocasiones, el término “phishing” se dice que es la contracción de “password

harvesting fishing” (cosecha y pesca de contraseñas), aunque estoprobablemente es un acrónimo retroactivo.

De forma más general, el nombre phishing también se aplica al acto de

adquirir, de forma fraudulenta y a través de engaño, información personal como

contraseñas o detalles de una tarjeta de crédito, haciéndose pasar por alguien

digno de confianza con una necesidad verdadera de tal información en un e-

70



mail parecido al oficial, un mensaje instantáneo o cualquier otra forma de

comunicación. Es una forma de ataque de la ingeniería social

Indicador de nivel de Pishing actual

La Asociación de Internautas ha creado el indicador AlertPhising para uso de

los sitios web que deseen ofrecer a sus visitantes información en línea del

estado de los ataques en vigor

El indicador AlertPhising es una aplicación sencilla, que indica mediante

distintos colores y niveles el estado de alerta de ataques de Phishing a lasentidades que están siendo suplantadas.

Nivel 1 (No hay alertas)

Nivel: 2 (bajo)

Nivel: 3 (moderado)

Nivel: 4 (alto)

Nivel: 5 (Extremo)

Además cuenta con un enlace permanente a los consejos antiphishing del

Centro de Alerta temprana sobre Virus y Seguridad Informática, perteneciente a

la entidad Red.es

El “phishing” es una de las técnicas más empleadas por ciberdelincuentes para

llevar a cabo estafas online. La Campaña pone a disposición de los usuariosejemplos y consejos para hacer frente a la grave amenaza del “phishing”.

(Asociación de Internautas) Las herramientas disponibles gratuitamente en la

web http://www.seguridadenlared.org permiten a los usuarios mantener sus

equipos libres de todo tipo de malware.

- La 1ª Campaña Mundial de Seguridad en la Red pone en manos de todos los

71

http://www.seguridadpymes.es/info-phishing.php

http://alerta-antivirus.red.es/portada/

http://www.red.es/

http://www.seguridadenlared.org/


http://www.red.es/

http://alerta-antivirus.red.es/portada/

http://www.seguridadpymes.es/info-phishing.php



usuarios la posibilidad de luchar contra todo tipo de amenazas procedentes de

Internet. Precisamente una de las más peligrosas, y que cada día es empleada

con más frecuencia por parte de usuarios sin escrúpulos, es el denominado

“phishing”.

El “phishing” consiste en el envío de falsos mensajes de correo electrónico que,

simulando proceder de fuentes fiables, intentan recoger datos confidenciales de

los usuarios, principalmente relacionados con cuentas bancarias o tarjetas de

crédito. Normalmente, en estos mensajes se afirma que, por motivos de

seguridad, es necesario actualizar datos de los clientes, como números PIN,

nombres de usuario o passwords. En caso de que el usuario -confiado por el

aspecto del mensaje recibido- introduzca dichos datos, los mismos serán

enviados a manos de ciberdelincuentes que, de esa manera, podrán realizar

estafas fácilmente.

Lo más habitual es que dichos e-mails aparenten proceder de entidades

financieras de reconocido prestigio. En algunas ocasiones, en lugar de enviar

los datos directamente a partir de un pequeño formulario, el mensaje de correo

electrónico contiene un link que, al pulsarlo, dirige al usuario a una falsa página

web. Esta última simula, hasta en sus más mínimos detalles, la apariencia del

sitio web original. Asimismo, existen técnicas para conseguir que la dirección

que aparezca en la barra de direcciones del navegador sea muy similar a la de

la compañía de la que aparenta provenir.

Todo esto hace que el “phishing” esté siendo cada vez más empleado para

llevar a cabo fraudes online. De hecho, según datos obtenidos por Anti-

Phishing Working Group, el 5% de los usuarios que reciben estos mensajes

fraudulentos llegan a introducir sus datos confidenciales.

La 1ª Campaña Mundial de Seguridad en la Red

http://www.seguridadenlared.org, contiene información esencial sobre este tipo

72



de estafas. En la dirección

http://www.seguridadenlared.org/disfrutandointernet/banca/banca3.htm se

encuentran ejemplos de estos correos electrónicos falsos, así como los

consejos más útiles para evitar ser víctimas de estos ataques.

Además de ello, en dicha dirección, los usuarios pueden informarse sobre

cómo utilizar con seguridad los servicios bancarios online

http://www.seguridadenlared.org/disfrutandointernet/banca/default.htm, o la

manera más eficaz de construir claves de acceso

http://www.seguridadenlared.org/disfrutandointernet/banca/banca2.htm que

dificulten las acciones de cualquier ciberdelincuente.

Según Victor Domingo, presidente de la Asociación de Internautas (AI), “El

phishing se está convirtiendo en una amenaza de primera magnitud. Para

evitarla, la única solución pasa por estar informado, ya que no existe ningún

tipo de programa que pueda impedir totalmente este tipo de ataques. Por eso,

dentro de los contenidos del sitio web de la Campaña, hemos reservado un

espacio dedicado exclusivamente al “phishing”. Estamos seguros de que sus

contenidos serán de gran valor para todos los usuarios de Internet”.

José María Hernández, vicepresidente de Expansión Internacional de Panda

Software, afirma: “por desgracia, los fraudes online cada vez son más

frecuentes y constituyen un gran amenaza, no ya para los equipos informáticos,

sino para los propios usuarios que pueden ver como sus cuentas se vacían

como consecuencia de un ataque “phishing”. Concienciar a los Internautas

sobre estos peligros y, sobre todo, poner a su disposición las armas necesarias

para defenderse, ha sido una de la principales motivaciones para poner en

marcha la 1ª Campaña Mundial de Seguridad en la Red”.

Organizada por la Asociación de Internautas y Panda Software, la 1ª Campaña

Mundial de Seguridad en la red fue puesta en marcha el pasado 17 de junio

73

http://www.seguridadenlared.org/disfrutandointernet/banca/banca3.htm

http://www.seguridadenlared.org/disfrutandointernet/banca/default.htm



http://www.seguridadenlared.org/disfrutandointernet/banca/default.htm




bajo el lema “Limpiar el Planeta de virus”, y tiene como objetivo lograr una Red

más segura para todos. Esta iniciativa pionera permite a internautas de más de

100 países mantener sus equipos libres de virus e intrusos gracias a las

herramientas gratuitas que pueden encontrarse en la web de en el sitio web

http://www.seguridadenlared.org.

La 1ª Campaña Mundial de Seguridad en la Red, que cuenta con el apoyo de

más de 300 empresa e instuciones de todo el mundo está disponible en ocho

de los idiomas más utilizados en Internet: inglés, chino, japonés, español,

alemán, francés, portugués e italiano. Su site -accesible en

http://www.seguridadenlared.org. http://www.seguridadenlared.org y

http://www.worldwidesecure.org - resuelve todas las dudas que pueden surgirle

a un internauta acerca de la seguridad. Además, incluye todo lo necesario para

que conozca al detalle cada amenaza y su solución específica, y proteja su

ordenador tanto de virus como de otro tipo de intrusos, utilizando las diferentes

herramientas gratuitas que están a su disposición. Asimismo, tiene una línea

abierta con expertos de seguridad, ya que a través de un foro puede hacer

cualquier tipo de consulta que será respondida por expertos de la industria.

La 1ª Campaña Mundial de Seguridad en la Red es una iniciativa abierta, ya

que en ella puede participar todo aquel internauta, empresa o institución que

desee contribuir a su difusión.35

19. Sniffers y Key Loggers

Estas dos utilidades son las principales utilidades de hurto de información.

Estas herramientas intentan hurtar la información de los usuarios, ya sean

contraseñas o información confidencial. Los antivirus denominan a estas

35 www.sitiosargentina.com.ar

74





utilidades su principales enemigo, ya que son muy difíciles de detectar, y los

que se detectan no se pueden borrar, ya que estas no son herramientas de

uso ilegal y son desarrolladas y distribuidas por empresas distinguidas que

cuentas con la autorización requerida. Principalmente estas herramientas

fueron creadas con fines educativos y de control, pero cayeron en manos de

los crackers y las convirtieron en las herramientas perjudiciales para los

usuarios y la privacidad de ellos en Internet.

Los KeyLogger son simples herramienta que guardan la información de un

ordenador en la memoria del disco. Cada vez que el usuario escribe alguna

información esta será guardada. Este es el método más común que usan los

crackers para obtener contraseñas, ya sean de correo electrónico, isp, cuentas

de usuario, números de tarjetas de crédito, etc.

19.1. SNIFFERS

Puede ser malo que entren a su ordenador y consigan las sus contraseñas,

pero puede llegar a ser peor si revisan toda la información que recorre la red

desde algún ordenador. Estas aplicaciones, llamadas Sniffers, son el control de

la red, y así mismo de los ordenadores ligados a ella.

Originalmente los Sniffers eran herramientas que se utilizaban para depurar

algunos problemas del funcionamiento de las redes. Estas aplicaciones

capturan, interpretan y almacenan toda la información que viaja por la red para

que puedan ser analizados después. Con esta técnica del "siniffing" los

usuarios de la red dispones de una aplicación que les permite ver el flujo en la

red y así mismo sus fallos mediante la visión del tráfico de información.

Un sniffer es una aplicación que trabaja en conjunto con la tarjeta de red o de

módem y así poder extraer todo el trafico de información que se encuentra

entre el módem y el exterior. Las tarjetas de red descartan cualquier tipo de

75



información que no va dirigida principalmente a ellas, por eso, otra función del

sniffer, es colocar a la tarjeta en lo que se llama "modo promiscuo" y así la

tarjeta de red recibirá todo tipo de información para que el sniffer pueda

acceder a ella.

20. IP SPOOFING

En abril de 1989 en un artículo llamado "security problems in tcp/ip Protocol

Suite" por S.M Bellovin, fue el primero en identificar el ip-spoofing como unriesgo para las redes de computadores. Bellovin describe cómo Roberto Morris,

creador del gusano ahora infame del Internet, calculó cómo el TCP creaba una

secuencia de números de serie y forjaba una secuencia de paquetes TCP. Este

paquete del TCP incluía la dirección de destinación de su "víctima" y usando un

ataque de ip spoofing Morris podía obtener el acceso de la raíz a su sistema

apuntado sin una identificación del usuario o una contraseña.

Una idea falsa común es que el "IP spoofing" se puede utilizar para ocultar su

dirección IP mientras que practica la navegación en Internet, chatea en línea,

envía un E-mail, etc. Esto generalmente no es verdad. Forjar la dirección IP de

la fuente hace las respuestas ser re direccionadas, significando que usted no

puede crear una conexión de red normal. Sin embargo, el IP spoofing es una

parte integral de muchos ataques de la red que no necesiten considerar las

respuestas (el spoofing oculto).

Principalmente el funcionamiento de los protocolos TCP/IP es el siguiente. El

sistema del cliente comienza enviando un mensaje de SYN al servidor. El

servidor entonces reconoce el mensaje de SYN enviando el mensaje de SYN-

ACK al cliente. El cliente entonces acaba el establecer la conexión

respondiendo con un mensaje del ACK. La conexión entre el cliente y el

servidor está entonces abierta, y los datos servicio específicos se pueden

intercambiar entre el cliente y el servidor. El cliente y el servidor pueden ahora

76



enviar datos a servicios específicos. Como ya dije antes el protocolo TCP usa

secuencias de números. Cuando un circuito virtual se establece entre dos

servidores, el TCP asigna a cada paquete un número como un identificador.

Los dos servidores usan este número para buscar errores y reportarlos.

Un ataque spoofing del IP se hace en lo "oculto", significando que el atacante

asumirá la identidad de un anfitrión "confiable". De la perspectiva del anfitrión

del blanco, está continuando simplemente sosteniendo una conversación

"normal" con un anfitrión confiable. En verdad, están conversando con un

atacante que esta ocupado forjando los paquetes de las direcciones ip. Los

datagramas del IP que contienen las direcciones forjadas del IP alcanzarán el

blanco intactos. Cada datagrama se envía sin la preocupación del usuario al

otro extremo.

Sin embargo, los datagramas que el blanco envía detrás (destinado para el

usuario confiable) terminará arriba en el cubo, el atacante nunca los verá. Los

routers entre la blanco y el atacante saben la dirección de destinación de los

datagramas, en el usuario "confiable", puesto que aquí es de adonde vinieron

originalmente y de donde deben ser vueltas. Una vez que los datagramas se

encaminen allí, el protocolo se estaca, y una vez que alcanza el TCP, serán

desechados.36

Existen cuatro métodos que son utilizados al hacer IP spoofing:

hombre-en-medio: el paquete identifica en acoplamiento entre los dos puntos

finales, y puede por lo tanto fingir ser un final del encaminamiento de la

conexión

Re direccionamiento del router: re dirige la información del router del anfitrión

original al anfitrión del hacker (ésta es otra forma de ataque hombre-en-medio).

77



Routing de la fuente: re dirije los paquetes indviduales por el hacker y el

"soofing oculto" predice las respuestas de un anfitrión, permitiendo el envío de

ordenes, pero no puede conseguir una respuesta.

Flooding: El SYN (código de paquetes del TCP) llena de direcciones al azar a

la víctima; causando una respuesta inmediata de la víctima.37

21. DNS Poissoning

El envenenamiento de DNS es una técnica que engaña un servidor DNS

diciéndole que ha recibido la información auténtica cuando, en la realidad, no lo

es. Una vez el servidor de DNS se ha "envenenado", la información

generalmente se esconde durante algún tiempo, mientras extiende el efecto del

ataque a todos los usuarios del servidor.

Normalmente, una computadora conectada a Internet usa un servidor DNS

proporcionado por el ISP del dueño del computador. Este servidor DNS

generalmente sirve sólo a los clientes propios del ISP y contiene una cantidad

pequeña de información del DNS en el caché de los usuarios anteriores del

servidor (cuando se manejas IP's dinámicas). Un ataque de envenenamiento

en un solo servidor DNS de un ISP puede afectar un gran número de usuarios,

dependiendo de cuántos usuarios se encuentran esperando respuesta del

servidor DNS comprometido.

Contenidos

36 http://www.wbglinks.net/pages/reads/ipspoof/inrtotoipspoofing.html37

http://www.iss.net/security_center/advice/Underground/Hacking/Methods/Technical/Spoofing/default.htm

78



Realizar un ataque de envenenamiento de caché (del usuario del DNS), el

atacante se aprovecha de alguna falla en el software del DNS (o el isp) para

que este pueda hacer que acepte información incorrecta. Si el servidor no

valida las respuestas de DNS correctamente para asegurar que estos han

venido de una fuente conocida, el servidor terminará estableciendo en el caché

local entradas incorrectas y le servirá a usuarios que hacen el mismo "pedido".

Esta técnica puede usarse para reemplazar contenido arbitrariamente de una

cantidad de víctimas con el contenido que el atacante escoja. Por ejemplo, el

atacante envenena las entradas de DNS de las direcciones IP,

reemplazándolas con la dirección de IP de un servidor que él controla. Él crea

las entradas falsas para los archivos en el servidor que él controla con nombres

que emparejen con los del servidor designado. Ahí ya tiene puertas abiertas

para infiltrar archivos que podrían contener código dañino, como un gusano o

un virus. Un usuario cuya computadora tiene el referente del servidor DNS

envenenado pensará que el contenido de cierto archivo viene del servidor

designado y seguro, y pues lo mas seguro es que el mismo sea victima de un

ataque.

Prevención

Los ataques de envenenamiento de caché se pueden prevenir simplemente

aumentando la desconfianza en la información que le entra, aumentando la

seguridad y métodos de autenticación. También es importante que los DNS

desconfíen totalmente de otros DNS e ignoren los registros de usuarios

pasados, ya que esto puede ser una fuente importante de ataques y de otros

tipos de vulnerabilidades o bugs.

79



Este tipo de ataque también puede atenuarse en el nivel de transporte o en el

nivel de aplicación (refiriéndome al protocolo OSI de ISO TCP/IP), para realizar

la comprobación de punto a punto una vez que una conexión se establezca en

un punto fijo, aquí es muy importante el protocolo TCP, ya que “verifica” que los

datos entrantes sean correctos, y que lleguen en su totalidad, evitando a lo

máximo ser alterados. Un ejemplo de esto sería el uso de firmas digitales, por

ejemplo usando el protocolo https, se puede verificar el certificado digital dado

por un servidor, aun así con el protocolo ssh y las últimas variaciones de telnet

(http 1.1) podría ser de gran ayuda. También los sistemas de cifrado de la

información son importantes para preservar la seguridad del contenido de la

información, ya que no permiten desvíos y forman métodos aleatorios de

encriptación.

22. DoS

DoS son las siglas de denial of service, o en español, negación de servicio. Losataques de negación de servicio, como su nombre lo indica, son ataques que

niegan algún servicio o el acceso al ordenador. Estos ataques de DoS

anualmente cuestan a las empresas sumas multimillonarias de dinero y son

una amenaza para cualquier sistema o red. Principalmente un ataque de

negación desorganiza o niega completamente el servicio a usuarios, redes,

sistemas u otros recursos. La intención de estos ataques normalmente son

dañinas y casi no requiere de habilidad informática, ya que las herramientaspara concluir un ataque de este tipo están al alcance de cualquiera.

Uno de los primeros ataques de negación más famosos tuvo lugar en 1996. Un

ISP (proveedor de servicio de Internet) a las afueras de Nueva York, Public

Acces Networks (PANIX) fue aislado durante aproximadamente una semana,

negando el acceso a Internet de alrededor 6,000 usuarios y 1,000 compañías.

80



Este ataque aprovecho una debilidad del protocolo TCP/IP y consiguió el

control de las peticiones SYN.

Una de las principales razones por las que se lanza un ataque DoS,

frecuentemente es por la seguridad de una red o usuario que frustra las

aspiraciones de un cracker inexperto. Este sintiéndose frustrado por su falla

lanzara un ataque de negación de servicio como ultimo recurso. También, en

muchas ocasiones, es necesario que el atacante realice un ataque de negación

de servicio para así vulnerar un sistema y poder acceder a este con mayor

facilidad.

Muchos dispositivos de redes tienen defectos en sus pilas de red las cuales

debilitan su capacidad para resistir ataques DoS, o también los protocolos de

Internet contienen defectos de los cuales se pueden tomar ventaja y así lograr

un ataque óptimo. Existen 4 principales tipos de ataques de negacion de

servicio, el consumo de ancho de banda, los ataques genéricos. Ataques DNS,

y desbordamiento del buffer.38

22.1. CONSUMO DE ANCHO DE BANDA

Este tipo de ataque de negación esta principalmente dirigido a sobre saturar el

ancho de banda de un módem. Los crackers consumirán todo el ancho de

banda disponible en una red para así dejarla sin recursos. En este ataque DoS,

los crackers son capaces de inundar la conexión de red de la víctima, ya que

tienen un mayor ancho de banda disponible, es decir, si un cracker que posee

una conexión con un bando de ancha mayor (por decir 1MB) ataca a un usuario

con un ancho de banda menor (por decir 56KB), este tendrá la posibilidad de

inundar el otro sistema consumiendo sus 56KB de ancho de banda sin que el

38

McClure, Stuart. Scambray, Joel. Kurtz, George. HACKERS secretos ysoluciones para la seguridad de redes. Mc. Graw Hill. 2002

81



se niegue el servicio a si mismo, y así el tendrá una diferencia de 44MB de

recursos disponibles.

Ahora si el atacante no logra superar el ancho de banda de la víctima, tendrá

que utilizar un método llamado amplificación. Con este método el cracker

consigue unir una multitud de sitios, servidores, y ordenadores para así superar

el ancho de banda de su víctima y conseguir un ataque de negación efectivo.39

22.2. ATAQUE DoS GENÉRICO

Este ataque DoS es capaz de afectar a muchos tipos diferentes de sistemas,

por lo que se denominan genéricos. Generalmente este tipo de ataque

pertenece a la categoría de ataques DoS de consumo de ancho de banda. Un

elemento típico de este tipo de ataque, es la manipulación de distintos

protocolos y asi tener la posibilidad de afectar a mas de un sistema que este

conectado a este. Por ejemplo, los atacantes pueden utilizar un bombardeo de

correo electrónico para enviar millares de mensajes al sistema de la víctima

con el fin de consumir el total de su ancho de banda asi mismo que para

reducir los recursos del servidor de correo electrónico. Este es un ejemplo de

manipulación del protocolo SMPT Y POP3.

Otro ejemplo de este tipo de ataque es el denominado "ping de la muerte", es

este ataque un grupo grande de atacantes hace un ping a un servidor con el fin

de conseguir una respuesta del servidor. Al unir todos estas peticiones, el

sistema se sobre satura de informacion y se bloquea. El ping de la muerte fue

el ataque utilizado hace algunos años hacia la OTAN por varios crackers y

hackers del mundo.40

39 McClure, Stuart. Scambray, Joel. Kurtz, George. HACKERS secretos ysoluciones para la seguridad de redes. Mc. Graw Hill. 200240

McClure, Stuart. Scambray, Joel. Kurtz, George. HACKERS secretos ysoluciones para la seguridad de redes. Mc. Graw Hill. 2002

82



22.3. ATAQUES DNS

En 1997, el equipo de seguridad de Secure Networks Inc. (SNI), ahora Network

associates Inc. (NAI), publicó ciertos consejos sobre las debilidades

encontradas en implantaciones BIND. BIND permitía falsear la información de

caché cuando se activaba la recursión DNS. La recurción permite que un

servidor de nombres maneje peticiones por zonas o dominios a los que no

sirve. Cuando un servidor de nombres reciba una consulta de una zona odominio a la que no sirve, transmitirá la petición al correspondiente servidor de

nombres del dominio específico. Una vez que se recibe la respuesta del

servidor de nombres correspondiente, el primer servidor de nombres la enviará

finalmente al solicitante.

Desgraciadamente, cuando se activa la recursión en versiones vulnerables de

BIND,

un atacante puede contaminar la caché del servidor de nombres realizando la

búsqueda recursiva. Este proceso recibe el nombre de PTR record spoofing

(falseo del registro PTR) y corromperá el proceso de asignación de direcciones

IP a los nombres de hosts. Aunque existen implicaciones serias de seguridad

relacionadas con la corrupción de las relaciones que dependen de las

búsquedas de nombres de hosts, también existirá la posibilidad de realizar un

ataque DoS DNS. Por ejemplo, los atacantes pueden tratar de convencer a un

servidor de nombres objetivo de que relacione vww.empresaabc.com con

0.0.0.10, una dirección IP inexistente. Cuando los usuarios del servidor de

nombres vulnerable deseen acceder a www.empresaa.bc.com, no recibirán

83



nunca una respuesta de 0.0.0.10, negándose así, efectivamente, el servicio a

vww.empresaabc.com.41

22.4. DESBORDAMIENTO DEL BUFFER

Los ataques de desbordamiento de buffer permiten a los atacantes la ejecución

de comandos arbitrarios en un sistema víctima. Se produce una situación de

desbordamiento de buffer cuando un usuario intenta introduce en el buffer una

mayor cantidad de datos de los permitidos. Un desbordamiento de buffernormalmente provoca una violación de la segmentación. Esto puede provocar

una sobre saturación del buffer y así negar el sistema.42

23. TELNET

23.1. TELNET INVERSO

Cada vez que se quiere entrar a un sistema remoto, tienen la posibilidad de

establecer una puerta trasera en l sistema. Con algunos códigos el cracker

puede lograr entablar una conexión directa con el sistema y así poder realizar

intrusiones posteriormente. Los mandatos a ejecutar son programas

previamente instalados que no necesitan la transferencia de ningún archivo. En

el sub mundo se le llama a esto Telnet inverso, ya que esta tecnica utiliza telnet

para conectarse al servidor de escucha (la puerta trasera), luego el crackerintroduce los comandos desde una ventana en la corriente inversa de telnet,

enviando la salida a la otra ventana.43

41 McClure, Stuart. Scambray, Joel. Kurtz, George. HACKERS secretos ysoluciones para la seguridad de redes. Mc. Graw Hill. 200242 McClure, Stuart. Scambray, Joel. Kurtz, George. HACKERS secretos ysoluciones para la seguridad de redes. Mc. Graw Hill. 2002

84



24. INGENIERIA SOCIAL

Este puede parecer el método más sencillo y menos útil de penetrar en un

sistema o adquirir una contraseña, pero no es así, la ingeniería social es el

método más útil que no explota bugs de los sistemas, sino a los ingenuos.

Básicamente se denomina ingeniería social a todo artilugio, tretas y técnicas

más elaboradas a través del engaño de las personas en revelar contraseñas u

otra información.

La ingeniería social se establece en la parte mas débil de cualquier sistema de

seguridad, el ingenio, o mas bien, la falta de ingenio. Se dice a menudo que la

única computadora segura es aquella que nunca será encendida. Con la

ingeniería social se puede demostrar totalmente lo contrario el hecho que usted

pudiera persuadir a alguien para que le suministre su numero de tarjeta de

crédito, puede sonar como un algo poco factible, sin embargo al suministra

datos confidenciales diariamente en distintos medios, como el papel que arroja

a la basura o el papel donde escribió su contraseña. También el factor humano

es una parte esencial del juego de seguridad no existe un sistema informático

que no dependa de algún dato ingresado por un operador humano. Esto

significa que esta debilidad de seguridad es universal, independiente del

sistema operativo, software, red o antigüedad del equipo.

La falta de educación de las personas son la falla mas grande de cualquier

sistema, el esconderle información de algún tipo a los usuarios puede llegar a

convertirse en la ventaja mas grande de un cracker al atacar. Cada ser humano

tiene las herramientas para intentar un "ataque" de ingeniería social, en el

"ataque", la única diferencia es la habilidad y conocimientos al hacer el uso de

estas herramientas, su propio ingenio y habilidad de persuasión.

43

McClure, Stuart. Scambray, Joel. Kurtz, George. HACKERS secretos y

85



Existen dos métodos para cumplir con la ingeniería social:

Demanda directa, donde a la víctima se le pide completar su tarea

directamente. Aunque probablemente tenga menor éxito, éste es el método

más fácil y el más sincero. La víctima sabe lo que usted quiere que ellos hagan

exactamente.

Ejecución indirecta, es una situación previamente ideada donde la victima es

simplemente una parte de la misma. El mismo puede ser persuadido porque

cree en las razones suministradas. Esto involucra mucho más trabajo para la

persona que hace el esfuerzo de la persuasión, y casi ciertamente se involucra

obteniendo un conocimiento extenso del objetivo. Esto no significa que las

situaciones no tienen que ser basadas en hecho real. Cuando menos

falsedades, mayor la facilidad de acertar.

Sin embargo, el éxito depende mucho de cómo esté involucrada, la persona a

la que usted le pida información sobre su objetivo. Nosotros podemos definir a

los administradores del sistema, analistas de seguridad, técnicos, las personas

a las que se le confían herramientas de trabajo esenciales o comunicación,

están muy envueltas en los ataques diseñados por otros expertos de las

computadoras.

Se clasifican las personas con nivel bajo si ellos tienen el interés muy pequeño

en qué usted está pidiéndoles que hagan. Los ejemplos pertinentes podrían ser

los guardias, limpiadores, o recepcionistas con acceso a computadora. Porque

no es probable que las personas de bajo envolvimiento se sientan afectadas

directamente por una demanda, ellos tienden a no molestarse analizando una

petición. En cambio es común para una decisión estar de acuerdo con su

demanda. Tal información podría ser simplemente el número de razones que el

ingeniero social enumera, la urgencia clara de la demanda o el estado de la

persona que intenta realizar la persuasión. Básicamente, las personas que no

soluciones para la seguridad de redes. Mc. Graw Hill. 2002

86



conocen el razonamiento de un ingeniero social, se persuadirán más por el

número de argumentos o demandas en lugar de verificar la factibilidad de cómo

deberán ser resueltas.44

Capitulo 3

(Métodos de defensa)

25. Introducción

Es tradicional que en todo lo bueno exista algo malo y viceversa, y esta no es

la excepción. En el segundo capitulo se pudo ver los problemas que están

presentes cada vez que nos encontramos frente a un ordenador o conectados

a Internet y por eso para mantener el status quo de esta sociedad están los

44 www.rompecadenas.com.ar/ingsocial.htm

87



vigilantes y la policía de Internet. ¿Pero quienes son ellos?, como se pudo

apreciar en el primer capitulo, los hackers en su mayoría son los protectores de

esta sociedad. Sus habilidades y su gran valor ético consagran a estas

personas como los guardianes, aunque el nombre se ha manchado por muchos

ellos seguirán en su camino. Estos protectores no solo son simples aficionados

con grandes habilidades, los hackers se encuentran desde lo mas alto del FBI

hasta en la casa del vecino. Este tercer capitulo intentara aclarar varias dudas

sobre el funcionamiento de las herramientas y de las estrategias utilizadas para

defender una maquina en este mundo tan hostil.

Es una realidad, como en la mayoría de los casos, los criminales están un paso

mas adelante, pero las autoridades los siguen muy de cerca. Un ordenador

nuca estará seguro y esto es lo que se intenta evitar, por eso existen grandes

compañías que tiene4n por único objetivo controlar estas desdichas.

26. ANTIVIRUS

El antivirus es la herramienta más conocida para protegerse de las amenazas

de la red. Hoy en día los antivirus incorporan diversas funcionalidades, que

cubren un gran campo de acción: trabajan en segundo plano, permiten

escanear archivos adjuntos en e-mails y rastrear y eliminar virus de macro,

además de las otras clases existentes. Los antivirus en un comienzo eran

especializados, como lo dice su nombre, en escanear y eliminar las diferentes

clases de virus, pero pocos años después un gran cantidad de amenazas de

las cuales era necesario protegerse aparecieron en la red. Desde este punto

los antivirus crearon diversas herramientas para evitar estas amenazas como

los spams y algunos tipos de DoS que son instalados en los ordenadores en

forma de fichero. Los antivirus se han convertido en una utilidad de gran

necesidad y aprobación por los usuarios ya que es la única herramienta que es

capaz de detectar y eliminar los virus.

88



26.1. HEURISTICA Y FUNCIONAMIENTO DEL ANTIVISUS

La mayoría de los virus informáticos generan alteraciones en los sistemas para

poder arrancar desde un fichero o desde alguna instrucción. Una interrupción

es el modo que tiene un programa ensamblador de ejecutar servicios y

funciones del BIOS (Basic Input Output System, más conocido como la ROM) y

el DOS. La mayoría de los virus 'interceptan' estas interrupciones de modo que

cada vez que se ejecuta uno de dichos servicios el virus supervisa lo que está

haciendo el programa que ejecutó la interrupción, a este proceso se ledenomina 'instalar un gestor de interrupción'.

Este es el método en el que los virus funcionan, cuando el antivirus ve estar

irregularidades puede definir la presencia del virus. Como existen

interrupciones que son muy poco ocupadas por programas convencionales y

que son bastante recurridas por un virus, también hay partes de código que son

características de virus, por ejemplo ¿para qué querría un programa

convencional copiarse a si mismo, esto estaría en un código común y

corriente? o ¿no crees que es sospechoso que un programa verifique si un

archivo comienza con ciertos bits que lo identifican como .exe? Estas

características han ayudado en gran parte al avance de los antivirus y cada día

es mas sencillo identificarlos.45

Las técnicas heurísticas nacen de la necesidad de una “detección genérica” de

los virus informáticos. Se llama detección genérica a la posibilidad de detectar

“cualquier virus” aún sin haberlo analizado antes y sin estar en la base de datos

del antivirus que se esté considerando. Esto pareciera que carece de sentido

pero es tan simple como buscar “instrucciones comunes” de los virus para

advertir de la posibilidad de que un archivo o programa esté infectado. .

45 http://www.siempreon.com/hack/Virus/Curso1/curso1.html

89

http://www.siempreon.com/hack/Virus/Curso1/curso1.html

http://www.siempreon.com/hack/Virus/Curso1/curso1.html



Cuando analizamos las primeras instrucciones de cualquier archivo, veremos

instrucciones para detectar los parámetros de la línea de comandos, borrar la

pantalla, llamar a alguna función, ejecutar alguna macro, etc. No obstante

tratándose de un virus suelen ser otras bien diferentes como activar el cuerpo

del virus o buscar más archivos para intentar implantarles su código.

La experiencia es sin duda lo que lleva a una persona a reconocer algo

infectado de algo limpio en cuestión de segundos. Esa “experiencia” se ha

pretendido introducir en los programas antivirus bajo el nombre de “heurística”.

El funcionamiento de la heurística es sencillo, primero se analiza cada

programa sospechoso sin ejecutar las instrucciones, lo que hace es

desensamblar o "descompilar" el código de máquina para deducir que haría el

programa si se ejecutara. Avisando que el programa tiene instrucciones para

hacer algo que es raro en un programa normal, pero que es común en un virus.

Sin duda el principal problema de las técnicas heurísticas ha sido los falsos

positivos. A pesar de que se han mejorado mucho en los últimos años, siguen

sin conseguir demasiada efectividad (aunque hay algunas excepciones). El

problema más que en la calidad de la rutina heurística está en la interpretación

que el usuario realice de ese aviso heurístico. Si es poco experimentado estará

constantemente mandando muestras a su casa de antivirus ya que “el antivirus

le dijo que podía tener un virus”.

Entendiendo la Heurística como un indicador de probabilidad de contagio, esto

nos lleva a considerarla como un sistema de detección mejorada que al incluirla

en los antivirus nos permite establecer un sistema de alerta y de prevención

ante la aparición de mutaciones de virus o de nuevos virus.

Esta técnica permite "barrer" diferentes tipos de códigos dentro de los archivos,

que sean susceptibles de ser malignos. Códigos que son genéricos dentro de

los archivos maliciosos y que siempre suelen ser parecidos. O por lo menos

respetar parte de las cadenas de comandos que activan los virus.

90



Pero ¿cómo funciona la heuristica en un antivirus? Los virus tienen patrones de

códigos que son como sus "huellas digitales". Los software antivirus buscan

estos patrones, pero sólo de los que tienen almacenados en su lista (por esto la

actualización es tan importante). Estos productos también pueden valerse de la

heurística, es decir, analizan los archivos para detectar comportamientos

similares a los de los virus.

Cada día crece el número de nuevos virus y la alternativa para poder

neutralizarlos, sin haber programado antes el antivirus para su reconocimiento,

es la denominada “búsqueda heurística”. A través de ella, el programa antivirus

analiza el código de los programas buscando instrucciones, acciones

sospechosas o indicios que delaten la presencia de virus en la computadora,

de acuerdo a los patrones habituales empleados por los códigos maliciosos.

El método Heurístico es una tecnología de programación que dentro de sus

rutinas de detección de especies virales, incluye las cadenas clásicas que son

similares, parecidas o afines a virus auténticos. El método heurístico, si no está

bien programado, es susceptible de incurrir en resultados falsos positivos o

negativos. Además, al encontrar un virus desconocido, variante de otro

existente, el antivirus que emplea este método de búsqueda no podrá eliminar

eficientemente el virus y mucho menos reparar el archivo o área afectada.

Para que un antivirus detecte y elimine eficientemente a un virus así como

también repare los daños ocasionados, debe incluir en la base de datos de sus

rutinas de detección y eliminación el exacto micro código viral de esa especie.

Sin embargo la técnica de búsqueda heurística de virus por "familias" es una

forma eficiente de detectar a especies virales que pertenecen a una misma

familia, aunque no es un método absolutamente exacto o eficiente.46

26.2. SINTOMAS

46

http://www.zonavirus.com/Detalle_ARTICULO.asp?ARTICULO=19

91





Reducción del espacio libre en la memoria o disco duro. Un virus, cuando entra

en un ordenador, debe situarse obligatoriamente en la memoria RAM , y por

ello ocupa una porción de ella. Por tanto, el tamaño útil operativo de la memoria

se reduce en la misma cuantía que tiene el código del virus.

Aparición de mensajes de error no comunes. En algunos sistemas Operativos

mas antiguos, los mensajes de error eran muy comunes, por eso algunos virus

aprovechaban esto para ejercer una operación no admitida q finalizara en

mensaje de error.

Fallos en la ejecución de programas. Al abrir alguna aplicación es muy

probable que esta este dañada o modificada por el virus.

Frecuentes caídas del sistema. El sistema puede presentar fallos que pueden

generar caídas del sistema, algunos virus son los culpables de producir estos

fallos.

Tiempos de carga mayores. Ya que para que el virus funciones, este necesita

pasar primero por un proceso de carga que aumentara el tiempo de iniciación

de algunas aplicaciones.

Las operaciones rutinarias se realizan con mas lentitud.

Aparición de programas residentes en memoria desconocidos. Estos

programas pueden ser el mismo virus que se esta ejecutando en un primer

plano.

Actividad y comportamientos inusuales de la pantalla. Muchos de los virus

eligen el sistema de vídeo para notificar al usuario su presencia en el

ordenador. Cualquier desajuste de la pantalla, o de los caracteres de esta nos

puede notificar la presencia de un virus.

El disco duro aparece con sectores en mal estado. Algunos virus usan sectores

del disco para camuflarse, lo que hace que aparezcan como dañados o

inoperativos.

Cambios en las características de los ficheros ejecutables. Casi todos los virus

de fichero, aumentan el tamaño de un fichero ejecutable cuando lo infectan.

92



También puede pasar, si el virus no ha sido programado por un experto, que

cambien la fecha del fichero a la fecha de infección.

Aparición de anomalías en el teclado:

Existen algunos virus que definen ciertas teclas que al ser pulsadas, realizan

acciones perniciosas en el ordenador. También suele ser común el cambio de

la configuración de las teclas, por la del país donde se programo el virus.47

26.3. Laboratorios de antivirus

El trabajo de un laboratorio, por pasos

1.- Detectar el virus.

2.- Abrirlo y analizarlo.

3.- Ejecutarlo y ver qué daño es capaz de hacer.

4.- Crear la vacuna.

Detección de virus

El proceso que va desde detectar el virus hasta lograr una vacuna dura una

media de 3 ó 4 horas. En ese tiempo el personal del laboratorio de

investigación de virus trabaja a toda velocidad y realiza múltiples tareas.

Los medios internacionales de contacto, los clientes y las utilidades de análisis

son indispensables para que una compañía antivirus consiga la información

sobre una nueva plaga.

47 http://www.zonavirus.com/Detalle_ARTICULO.asp?ARTICULO=19

93





Los usuarios que tienen sospechas de tener un virus, se conectan a la web y

esta herramienta analiza sus equipos. Además, como este software les pide el

lugar desde dónde se están enganchando, aquí se obtiene una información

muy importante: saber el contenido vírico de cada país. A parte, Active Scan

les permite recibir virus procedentes de todos los países.

Otro de los medios de recepción son los clientes, que cada vez que encuentran

un código vírico sospechoso dentro de un equipo, lo envían, por medio de los

propios antivirus, al departamento de análisis.

Los virus más complejos de desensamblar son los polimórficos, que en cada

infección que realizan se cifran de una forma distinta. De esta forma, generan

una elevada cantidad de copias de sí mismos.

Un laboratorio antivirus puede recibir de 12 a 14 virus nuevos todos los días.

Un laboratorio, ante un virus muy peligroso, puede llegar a probarlo en 60

máquinas. Y tener trabajando en él a cien personas.

Abrir y ejecutar el virus

Los técnicos que trabajan en el laboratorio, una vez han recibido el virus, lo que

hacen es desensamblarlo, abrir la parte interna de su código. Utilizan unas

herramientas especiales que realizan esa tarea.

A partir de aquí, los investigadores tienen una idea de si lo que han recibido es

un virus, si no lo es, si es un código maligno o si es algo que está atacando las

vulnerabilidades de un determinado software.

94



Esto les sirve para poder prever cuáles son los payloads, es decir, las acciones

malignas que puede realizar el virus. Pero lo que todavía no saben es lo que es

capaz de realizar, y no lo averiguarán hasta que no lo ejecuten.

Por lo tanto, en el siguiente paso el investigador se convierte en un usuario y

ejecuta el código vírico de la misma forma que lo haría éste.

Los investigadores van analizando el virus para ver dónde se deposita, qué es

lo que hace, que modificaciones tiene, en definitiva, los payloads.

Los profesionales observan las acciones malignas del código vírico y después

las escriben, describiendo cuáles son y cómo están hechas. Es en este

momento, cuando entra en acción el departamento de desarrollo. El cual se

encarga de conseguir una vacuna que acote esas acciones malignas, y que

ese virus se pueda reconocer de forma inequívoca con respecto a todos los

códigos que poseen los ordenadores normalmente.

La llegada del antídoto

Tras ejecutar y observar los payloads, el siguiente paso es generar la

información necesaria para que los departamentos de Marketing y

Comunicación de la empresa antivirus sean capaces de informar sobre la plaga

y de cuales son sus acciones malignas.

Por otra parte los usuarios que hayan resultado infectados, en el periodo de

tiempo que el laboratorio ha estado trabajando, se crea el PQRemove, una

herramienta para acabar con el virus concreto que haya infectado el equipo del

usuario.

95



Ese periodo de tiempo depende del tipo de virus. Puede ser de un par de horas

hasta bastantes más si el virus es muy complicado, como puede ser en el caso

de los polimórficos. 48

27. FIREWALLS

Un cortafuego, o como es llamado en ingles, firewall, es un sistema informático

o un grupo de sistemas informáticos que refuerzan seguridad de la información

entre dos redes. Estas redes se refieren como una red interna y red exterior.

Toda la información que pasa entre estas dos redes pasa a través del

cortafuego. Esto hace al cortafuegos un punto ideal para implementar filtrado,

supervicion y registro de sesiones entre una red y otra.

El cortafuego le protege contra ataques del sistema de información del exterior,

pero también puede proteger sistemas externos contra los ataques que se

originan dentro de su red.

Pero un cortafuego no puede protegerle contra todos los ataques de afuera, ni

contra los ataques que vienen desde adentro de su propia red, ni de otros

métodos de la piratería (hurto de los medios de la computadora, del etc) o de

otras formas de hostilidad.

Hay dos categorías principales de cortafuegos: cortafuegos basados en la

filtración del paquete y aplication based firewalls.

Paquete-tipo cortafuegos:

48 http://www.terra.es/tecnologia/articulo/html/tec10175.htm

96

http://www.terra.es/tecnologia/articulo/html/tec10175.htm

http://www.terra.es/tecnologia/articulo/html/tec10175.htm



Un paquete-tipo cortafuego filtra simplemente la información que transita entre

las dos redes con las cuales está conectada. Para hacer esto, el cortafuego

utiliza los protocolos empleados en las dos redes (TCP/IP, IPX/SPX, Appletalk,

etc): tiene que saber la estructura de estos protocolos de modo que pueda

filtrar datos dentro de ellos. Hoy, tales sistemas de filtración se construyen cada

vez más a menudo en los routers. Y esto es una localización natural para el

filtrado, porque un router es un punto de la interconexión entre dos redes. Pero

esta categoría del cortafuego no sabe la estructura de los intercambios de los

datos entre diversos servicios (ftp, correo, el Web, etc). Este tipo de cortafuego

sabe solamente protocolos de red.

Ventajas:

• Este tipo de cortafuego es transparente: las aplicaciones no tienen que

ser vueltos a trabajar para aprovecharse de ellos (usted podría decir que

son plug and play).

• En muchos casos, el grado de seguridad proporcionado es

perfectamente adecuado.

• Son baratos.

• Usted puede filtrar cualquier servicio construido alrededor de los

protocolos de red apoyados por el cortafuego.

Desventajas:

• Usted tiene que ser a fondo familiar con la red que se protegerá, y con

los protocolos usados en esta red.

97



• No hay autentificación del usuario; la filtración se basa en la dirección de

red del sistema del hardware.

• La filtración del paquete no encubre la arquitectura interna de la red.

• Con DHCP, las direcciones del IP no son fijas: el sistema del hardware

puede tener un diverso IP address cada vez que se comienza el

sistema.

• Una computadora comprometida en la red de área local puede penetrar

el cortafuego (porque se cree un ordenador seguro).

• El cortafuego no da la protección contra debilidades inherentes en

servicios sin filtro.

• Usted no puede registrar los registros de sesiones individuales: el

cortafuego no comprende los datos intercambiados por servicios (tales

como los datos de una sesión del telnet).

Aplication based firewalls:

Un aplication based firewall es un sistema del hardware en el cual el servidor

para cada servicio se ha reconstruido (ftp, Web, etc). Los clientes no se

conectan directamente con la red exterior, en vez de eso, ellos pasan a través

del cortafuego. El cortafuego después establece una conexión con la red

exterior para el cliente, envía peticiones, recibe respuestas, las analiza y

después las retransmite al cliente dentro de la red interna.

Tal cortafuego da buena seguridad, porque la supervisión ocurre en el nivel de

la aplicación. Esto lo hace más flexible y de gran alcance . Si una conexión

entre la red interna y la red exterior es atacada, sólo la conexión entre el

98



atacante y el cortafuego será atacada. Así, solamente el cortafuego puede ser

comprometido. Si el cortafuego es superado por un ataque, el ataque se nota

generalmente muy rápidamente.

Ventajas:

• Las reglas de la seguridad son fáciles de definir.

• Se pone en ejecución la autentificación del usuario.

• La arquitectura interna de la red puede ser encubierta, porque todas las

conexiones a la red exterior pasan a través del cortafuego.

• Hay conversión de dirección entre la red interna y la red exterior.

• Usted consigue numerosos "log files" y muy detallados.

Desventajas:

• Tales sistemas son costosos: requieren el hardware y el software.

• Son demasiado poderosos para las redes pequeñas.

• Usted necesita software especial del cliente para aprovechar el

cortafuego.

• No hay ayuda para los nuevos servicios.

• La administración del sistema es más exigente que con el paquete-tipo

cortafuegos.

99



Filtrado de paquetes.

La filtración del paquete le deja definir las reglas de filtración basadas en listas

del acceso. Estas reglas de filtración pueden diferenciar para el interfaz de la

entrada y el interfaz de la salida del cortafuego. Así, el administrador de la red

puede especificar diversas reglas y listas del acceso para las conexiones de la

red interna a la red exterior, y viceversa. De esta manera, usted puede

restringir el acceso a la red interna sin la limitación del acceso a la red exterior.

Cuando los datos que vienen a partir de una red a otra desobedecen las reglas

de filtración fijadas por el administrador de la red, en este caso se pueden

tomar varias decisiones: destruir el paquete, enviar un mensaje de error al

remitente o alertar al administrador de la red. ¿Cómo se puede filtrar un

servicio especifico? Cada servicio en el Internet se basa en un número de

acceso de TCP o de UPD (dependiendo del servicio). Un programa sobre el

servidor escucha un número de acceso específico del TCP o del UDP, cuando

los datos se envían a este puerto, el software del servidor los procesa y envía

una respuesta. Para filtrar un servicio, se filtra justo el número de acceso

correspondiente del TCP o del UDP.49

28. PROXIES Y STEALTH

Un aspecto polémico y curioso de Internet es la posibilidad de utilizar la red en

forma anónima o cuestionar la ausencia de anonimato. Voy a tratar de aportar

alguna información sobre los aspectos más candentes de este asunto. Cuando

navegamos, es frecuente que vayamos dejando muchos rastros respecto a lo

que hacemos. Quizá a algunos no les importe todo esto, a otros sí que les

preocupará. En primer lugar los sitios que visitamos son registrados en la

49 www.elabs.fr/indexuk/tutorial_firewall.htm

100



propia máquina, en nuestro propio ordenador. Muchas páginas Web incorporan

formularios con casillas en las que escribir tus datos. Esto se emplea para fines

muy diversos: desde suscribirse a listas de distribución, hasta agregarse a una

protesta contra las tarifas telefónicas o realizar la compra de un producto. De

entrada debes ser muy precavido respecto a difundir así información personal,

puesto que normalmente no tenemos ninguna garantía sobre el uso que se

hará de esa información. Uno de los datos puede ser la dirección de correo

electrónico; luego no te sorprendas si recibes mensajes comerciales masivos

("spam") o tienes problemas más graves. Los formularios solo deben

emplearse utilizando conexiones seguras realizadas hacia sitios de garantía.

Las últimas versiones de los navegadores informan claramente sobre la

seguridad de la transmisión o la ausencia de esta característica. Si la conexión

no es segura, cualquiera que esté husmeando por Internet puede interceptar

esa información y utilizarla luego para otros fines.

Cada vez que nos conectamos a un sitio Web, éste conoce automáticamente

nuestra dirección IP, nombre de máquina, la página desde la que procedemos

y a veces incluso nuestra dirección de correo electrónico. De ahí en adelante,

dependerá del servidor y de su política sobre intimidad lo que se hará con esa

información. Con ayuda de las cookies se puede personalizar aún más la

información recabada acerca de los visitantes, registrando las páginas más

visitadas, nuestras preferencias, dónde hemos estado, tiempo de la visita, etc.

Con todos estos elementos se pueden confeccionar perfiles de usuario cada

vez más exhaustivos y detallados, con información muy personal que puede

adquirir un valor considerable en manos de casas publicitarias, y por la que se

paga dinero.

Por todo lo dicho, existen muchas situaciones en las que convendría navegar

anónimamente sin dejar trazas de nuestra identidad, ya que con estos datos y

mediante programas de búsqueda de personas por su dirección de correo, se

101



puede obtener la identidad del cibernauta, incluyendo su número de teléfono,

dirección, y más.50

Anonimizadores

El servicio de anonimato actúa como un filtro de seguridad entre tu navegador y

el sitio Web que deseas visitar. Te conectas al anonimizador, introduces el URL

al que deseas ir, entonces éste se adentra en la Red en busca de la página que

deseas ver y te la muestra. Si posteriormente vas siguiendo enlaces de una

página a otra, se presentarán asimismo a través del anonimizador.

Sus inconvenientes:

• No funcionan con todos los sitios ni con los servidores seguros.

• Tampoco se reciben cookies (lo cual para algunos representa más bien

un alivio).

• Desactivan todos los programas en Java, JavaScript, etc. (de nuevo,

ventaja o inconveniente según para quién).

• Ralentizan la navegación.

• Para un servicio óptimo hay que pagar.

• Añaden a las páginas que visitamos banners con publicidad de sus

patrocinadores.51

Proxies

Los proxies primero fueron inventados para acelerar conexiones del Internet. Y

así es como trabajan: Usted se está intentando conectar con un servidor en el

otro lado del planeta. Sus peticiones del HTTP se envían a su proxy server, que

está situado en la jefatura del ISP's, que están mucho más cercano a usted que

ese servidor lejano. El proxie primero chequea primero si uno de usuarios ha

tenido acceso a esta pagina web últimamente. Si es así debe tener una copia

50

http://www.a1dominios.com

102



de él en alguna parte en los servidores de este. Entonces el proxy server

comienza la conexión solamente al chequeo, si su versión no es anticuada, que

requiere solamente mirar el tamaño del archivo. Si tiene la última versión, le

enviará el archivo, en vez de tener hacer que el servidor lejano se lo envíe, y

así acelera la conexión. Si no, descargará los archivos solicitados por sí mismo

y después se los enviará. Pero los proxies se pueden también utilizar como

anonimizadores mientras que navega por Internet, porque manejan todas las

peticiones del HTTP para usted. La mayoría de las ocasiones son que su ISP

tiene un proxie. Pero los problemas con el acceso del proxie dado a usted por

su ISP son:

1. Algunos ISPs incluso no tiene proxies.

2. El dueño de la pagina web todavía podría saber qué ISP usted está

utilizando y dónde reside usted, puesto que esta clase de proxies no son

públicos y ella puede ser alcanzada solamente por los usuarios de eso ISP.52

29. CYPTOLOGIA

Del Antiguo Egipto a la era digital, los mensajes cifrados han jugado un papel

destacado en la Historia. Arma de militares, diplomáticos y espías, son la mejor

defensa de las comunicaciones y datos que viajan por Internet.

Esclavos con textos grabados en su cuero cabelludo, alfabetos de extraños

símbolos, escritos de tinta simpática, secuencias interminables de números...

Desde la Antigüedad, el hombre ha hecho gala de su ingenio para garantizar la

confidencialidad de sus comunicaciones. La criptografía (del griego kryptos,

"escondido", y graphein, "escribir"), el arte de enmascarar los mensajes con

signos convencionales, que sólo cobran sentido a la luz de una clave secreta,

nació con la escritura. Su rastro se encuentra ya en las tablas cuneiformes, y

los papiros demuestran que los primeros egipcios, hebreos, babilonios y asirios

51

R a v e N, The Anonymity Tutorial. blacksun.box.sk. 2000

103



conocieron y aplicaron sus inescrutables técnicas, que alcanzan hoy su

máxima expresión gracias al desarrollo de los sistemas informáticos y de las

redes mundiales de comunicación.

Entre el Antiguo Egipto e Internet, los criptogramas han protagonizado buena

parte de los grandes episodios históricos y un sinfín de anécdotas. Existen

mensajes cifrados entre los 64 artículos del Kamasutra, el manual erótico hindú

del Vatsyayana, abundan en los textos diplomáticos, pueblan las órdenes

militares en tiempos de guerra y, por supuesto, son la esencia de la actividad

de los espías.

Criptografía de clave secreta

En los cifrados de clave secreta, la seguridad depende de un secreto

compartido exclusivamente por emisor y receptor.

La principal amenaza criptoanalítica proviene de la alta redundancia de la

fuente. Shannon sugirió por ello dos métodos básicos para frustrar un

criptoanálisis estadístico: la difusión y la confusión.

El propósito de la difusión consiste en anular la influencia de la redundancia de

la fuente sobre el texto cifrado. Hay dos formas de conseguirlo. La primera,

conocida como transposición, evita los criptoanálisis basados en las

frecuencias de las n-palabras. La otra manera consiste en hacer que cada letra

del texto cifrado dependa de un gran número de letras del texto original.

El objetivo de la confusión consiste en hacer que la relación entre la clave y el

texto cifrado sea lo más compleja posible, haciendo así que las estadísticas del

texto cifrado no estén muy influidas por las del texto original. Eso se consigue

52 http://www.a1dominios.com

104



normalmente con la técnica de la sustitución. En solitario, ni confusión ni

difusión constituyen buenas técnicas de cifrado.

Cifrado en bloque, DES

Independientemente de la clasificación realizada en el apartado anterior según

la fuente que genera el texto, los cifrados simétricos se pueden clasificar en

dos grandes grupos: los correspondientes a fuentes que generan n-palabras y

los correspondientes a fuentes que generan letras. En el primer caso se habla

de cifrados en bloque y en el segundo de cifrados en flujo.

El cifrado en bloque opera sobre textos formados por n-palabras, convirtiendo

cada una de ellas en una nueva n-palabra.

Sin duda el cifrado en bloque más conocido es el llamado DES. Este sistema

se puede catalogar como un cifrado en bloque que es a la vez un cifrado

producto de transposiciones y sustituciones.

A finales de los años cuarenta, Shannnon sugirió nuevas ideas para futuros

sistemas de cifrado. Sus sugerencias se referían al uso de operaciones

múltiples que mezclaran transposiciones y sustituciones. Estas ideas fueron

aprovechadas por IBM en los años setenta, cuando desarrolló un nuevo

sistema llamado LUCIFER. Poco después en 1976, el gobierno de EEUU

adoptó como estándar un sistema de cifrado basado en el LUCIFER y

denominado DES (Data Encryption Standard). En consecuencia casi todos los

gobiernos del mundo aceptaron el mismo cifrado o parte de él como estándar

en las comunicaciones de las redes bancarias y comerciales.

En el DES, el bloque de entrada M en primer lugar sufre una transposición bajo

una permutación denominado IP, originando To=IP(M). Después de pasar To

105



dieciséis veces por una función f, se transpone bajo la permutación inversa IP',

obteniéndose así el resultado final.

Criptografía de clave publica

En los cifrados asimétricos o de clave pública la clave de descifrado no se

puede calcular a partir de la de cifrado.

En 1975, dos ingenieros electrónicos de la Universidad de Stanford, Whitfield

Diffie y Martin Hellman, sugieren usar problemas computacionalmente

irresolubles para el diseño de criptosistemas seguros. La idea consiste

básicamente en encontrar un sistema de cifrado computacionalmente fácil (o al

menos no difícil), de tal manera que el descifrado sea, por el contrario,

computacionalmente irresoluble a menos que se conozca la clave. Para ello,

hay que usar una transformación criptográfica Tk de fácil aplicación, pero de tal

forma que sea muy difícil hallar la transformación inversa Tk' sin la clave de

descifrado. Dicha función Tk es, desde el punto de vista computacional, no

invertible sin cierta información adicional (clave de descifrado) y se llama

función de una vía o función trampa.

En estos esquemas se utiliza una clave de cifrado (clave pública) k que

determina la función trampa Tk, y una clave de descifrado (clave secreta o

privada) que permite el cálculo de la inversa Tk'.

Cualquier usuario puede cifrar usando la clave pública, pero sólo aquellos que

conozcan la clave secreta pueden descifrar correctamente.

En consonancia con el espíritu de la criptografía moderna, y tal cómo sucedía

en los sistemas simétricos, los algoritmos de cifrado y de descifrado son

públicos, por lo que la seguridad del sistema se basa únicamente en la clave de

descifrado.

106



Sistemas RSA

La seguridad del RSA se basa en el hecho de que no existe una forma eficiente

de factorizar números que sean productos de dos grandes primos.

Fue desarrollado en 1977 por Ronald Rivest, Adi Shamir y Leonard Adleman,

de ahí el nombre de RSA, que corresponde a las iniciales de los apellidos de

sus autores. 53

30. FIRMAS Y PRIVASIDAD

Una firma digital es un conjunto de datos asociados a un mensaje que permite

asegurar la identidad del firmante y la integridad del mensaje.

La firma digital no implica que el mensaje está cifrado, esto es, un mensaje

firmado será legible en función de que está o no cifrado.

El firmante generará mediante una función, un 'resumen' o huella digital del

mensaje. Este resumen o huella digital la cifrará con su clave privada y el

resultado es lo que se denomina firma digital, que enviará adjunta al mensaje

original.

Cualquier receptor del mensaje podrá comprobar que el mensaje no fue

modificado desde su creación porque podrá generar el mismo resumen o

misma huella digital aplicando la misma función al mensaje. Además podrá

comprobar su autoría, descifrando la firma digital con la clave pública del

firmante, lo que dará como resultado de nuevo el resumen o huella digital del

mensaje.

53 http://rinconquevedo.iespana.es/rinconquevedo/Criptografia/criptografia.htm

107

http://rinconquevedo.iespana.es/rinconquevedo/Criptografia/criptografia.htm

http://rinconquevedo.iespana.es/rinconquevedo/Criptografia/criptografia.htm



Las huellas digitales son un conjunto de datos asociados a un mensaje que

permiten asegurar que el mensaje no fue modificado.

La huella digital o resumen de un mensaje se obtiene aplicando una función,

denominada hash, a ese mensaje, esto da como resultado un conjunto de

datos singular de longitud fija.

Una función hash tiene entre otras las siguientes propiedades:

Dos mensajes iguales producen huellas digitales iguales.

Dos mensajes parecidos producen huellas digitales completamente diferentes.

Dos huellas digitales idénticas pueden ser el resultado de dos mensajes iguales

o de dos mensajes completamente diferentes.

Una función hash es irreversible, no se puede deshacer, por tanto su

comprobación se realizará aplicando de nuevo la misma función hash al

mensaje.

Las firmas digitales tienen diferentes funciones:

Autentificar la identidad del usuario, de forma electrónica, ante terceros.

Firmar digitalmente de forma que se garantice la integridad de los datos

trasmitidos y su procedencia.

Cifrar datos para que sólo el destinatario del documento pueda acceder a su

contenido.

El uso de un certificado nos garantiza:

1) La identidad del emisor y del receptor de la información (autentificación de

las partes)

108



2) Que el mensaje no ha sido manipulado durante el envío (integridad de la

transacción)

3) Que sólo emisor y receptor vean la información (confidencialidad)

4) Que el titular de un mensaje no pueda negar que efectivamente lo firmó (no-

repudio)

31. CONCLUSIONES

Como pudimos ver en este proyecto, el uso de Internet y de ordenadores no es

confiable, existen varios métodos para hacer la estadía en la red más

agradable, peor aun así las amenazas siguen existiendo. Otro factor importante

es el económico, una gran parte de las empresas diseñadoras de software

cobra por sus productos y su información. Este aspecto hace aumentar el

índice de criminalidad en la red ya que muchos de los criminales pelean por “la

libre información”.

Internet es una sociedad muy grande y compleja, muchos generalizan a todos

sus habitantes por los que más sobresalen, es decir los que tienen fines

maliciosos, los crackers, por eso no debemos generalizar a todas las personas

de esta comunidad. Como pudimos ver en el primer capítulo y parte del tercero,

en esta comunidad de Internet también existe gente con fines beneficiosos para

esta sociedad, los hackers.

Mi consejo para todos los usuarios de Internet es que aprendan y salgan de la

ignorancia ya que esta es la principal herramienta de muchos crackers,

aprovecharse de la ingenuidad de las personas.

109



BIBLIOGRAFÍA

• http://rinconquevedo.iespana.es/rinconquevedo/Criptografia/cri

ptografia.htm

• http://www.a1dominios.com

• R a v e N, The Anonymity Tutorial. blacksun.box.sk. 2000

• http://www.a1dominios.com

• www.elabs.fr/indexuk/tutorial_firewall.htm

• http://www.terra.es/tecnologia/articulo/html/tec10175.htm

•


• http://www.siempreon.com/hack/Virus/Curso1/curso1.html

• www.rompecadenas.com.ar/ingsocial.htm

• McClure, Stuart. Scambray, Joel. Kurtz, George. HACKERS

• secretos y soluciones para la seguridad de redes. Mc. Graw

Hill. 2002

• http://www.iss.net/security_center/advice/Underground/Hacking/

• Methods/Technical/Spoofing/default.htm

110



• http://www.wbglinks.net/pages/reads/ipspoof/inrtotoipspoofing.

html

• David Lightman. Credit Carding. 1985

• http://www.rompecadenas.com.ar/spam.htm

• http://www.zonavirus.com/Tecnicas/Mecanismos_Polimorficos.asp

• http://www.zonavirus.com/Tecnicas/Armouring.asp

• http://www.zonavirus.com/Tecnicas/Tecnicas_de_autoencriptación

.asp

• http://www.perantivirus.com/sosvirus/general/stealth.htm

• http://deco-hack.iespana.es/deco-hack/manuales/Tunneling.txt

• Diario de un hacker. Confesiones de hackers adolescentes Dan

Verton Mc Graw Hill, 1999

• Christopher Klaus, Backdoors. 1997

• http://www.cnnenespanol.com/2004/tec/01/29/virus.famosos.reut/

• index.htm

• http://www.dragones.org/Biblioteca/Articulos/virus3.html

• http://www.siempreon.com/hack/Virus/VHisto/vhisto.html

111



•

Sortilegio, Virus. www.elhacker.net

• KRaViTZ , INTRODUCCION AL CRACKING

• _^SIAKO^_, El Chacal de la Red. www.elhacker.net

• http://www.perantivirus.com/sosvirus/hackers/levin.htm

• http://www.invent.org/hall_of_fame/155.html

• http://www.perantivirus.com/sosvirus/hacke rs/morris.htm

• http://tatooine.fortunecity.com/tharg/95/hpvc.html

• http://www.geocities.com/SiliconValley/Sector/5353/textos.htm

• http://rinconquevedo.iespana.es/rinconquevedo/Criptografia/cla

sicos.htm

• http://www.monografias.com/trabajos/virus/virus.shtml

• http://www.informaticahispana.com/~hackedplanet/def_lammer.htm

• http://www.umanizales.edu.co/encuentrohackers/m_copyhacker.ht

m

• Morrison, William. Crackers on the web. Editorial gray star

1994

112



• http://mundo-libre.org/phreaking/phreaking.htm

• http://catb.org/~esr/jargon/html/P/phreaking.html

• http://www.paralax.com.mx/antivirus/ar03-hackersyvirus.html

• http://www.elinflador.com.ar/hackercarta.html

•

http:// www.lycos.com/hacknova/foro.php

• http://www.paralax.com.mx/antivirus/ar03-hackersyvirus.html

113



GLOSARIO

ADMINISTRADOR, sysop, root : Es la persona que se encarga del sistema. Se

suele denominar rOOt y es quien tiene el poder absoluto sobre la máquina.

AGUJERO, bug, hole : Es un efecto en el software o hardware que como su

nombre indica deja agujeros para los hackers.

AIX : Sistema operativo de IBM.

BUGS y EXPLOITS : Los bugs son fallos en el software o en el hardware y que

usan los hackers para entrar en sistemas y un exploit es un programa que

aprovecha el agujero dejado por el bug. Ver AGUJERO.

BOMBA LOGICA : Código que ejecuta una particular manera de ataque cuando

una determinada condición se produce. Por ejemplo, una bomba lógica puedeformatear el disco duro un día determinado, pero a diferencia de un virus, la

bomba lógica no se replica.

BACKDOOR : Puerta trasera. Mecanismo que tiene o que se debe crear en un

software para acceder de manera indebida.

BBS (Bulletin Board System) : Es una máquina a la que se accede a través de

la línea telefónica y donde se dejan mensajes y software.

BOXING : Uso de aparatos electrónicos o eléctricos (Boxes) para hacer

phreaking.

BOUNCER : Técnica que consiste en usar una máquina de puente y que

consigue que telneteando al puerto xxxx de la máquina "bouncerada" te

redireccione la salida a un puerto determinado de otra máquina. Esta técnica es

114



muy usada en el IRC, redireccionando a los puertos destinados a los servidores

de IRC por anonimicidad y otros temas que no vienen al caso.

CABALLOS DE TROYA : Programa que se queda residente en un sistema y

que ha sido desarrollado para obtener algún tipo de información. Por ejemplo,

sería un caballo de troya un programa que al ejecutarlo envíe el fichero de

/etc/passwd a una determinada IP.

CORTAFUEGOS : Ver firewall.

COPS : Programa de seguridad.

CERT (Computer Emergency Response Team) : Bien, como su nombre indica

es una gente que se dedica de trabajar en seguridad, pero que en su esfuerzo

por informar de bugs nuevos.

CLOACKER : Programa que borra los logs (huellas) en un sistema. También

llamados zappers.

CRACKER : Esta palabra tiene dos acepciones, por un lado se denomina

CRACKER a un HACKER que entra a un sistema con fines malvados, aunque

normalmente la palabra CRACKER se usa para denominar a la gente que

desprotege programas, los modifica para obtener determinados privilegios, etc.

CRACKEADOR DE PASSWORDS : Programa utilizado para sacar los

password encriptados de los archivos de passwords.

DAEMON : Proceso en background en los sistemas Unix, es decir, un proceso

que está ejecutándose en segundo plano.

EXPLOIT : Método concreto de usar un bug para entrar en un sistema.

115



FIREWALL, cortafuego : Sistema avanzado de seguridad que impide a

personas no acreditadas el acceso al sistema mediante el filtrado de los

paquetes dependiendo de la IP de origen. En la actualidad está considerado

como uno de los medios de seguridad mas fiables y hay poca documentación

al respecto de como hackearlos.

FUERZA BRUTA: Es el procedimiento que usan tanto los crackeadores de

password de UNIX como los de NT que se basan en aprovechar diccionarios

para comparar con los passwords del sistema para obtenerlos.

FAKE MAIL : Enviar correo falseando el remitente.

GRAN HERMANO : Cuando la gente se refiere al Gran Hermano, se refiere a

todo organismo legal de lucha contra el mundo underground.

GUSANO : Término famoso a partir de Robert Morris, Jr. Gusanos son

programas que se reproducen ellos mismos copiándose una y otra vez de

sistema a sistema y que usa recursos de los sistemas atacados.

HACKING : Técnicas de entrada de forma ilegal en un sistema informático con

el ánimo de obtener información, siempre y cuando esto se use con fines

educativos o de diversión, NUNCA para adueñarse de conocimientos que no

son nuestros o con ánimo de lucro. Estos actos no presuponen la destrucción

de la información, ni la instalación de virus.

HOLE : Ver bug.

HP/UX : Sistema operativo de HP.

116



INGENIERIA SOCIAL : Obtención de información por medios ajenos a la

informática.

IRIX : Sistema operativo.

ISP (Internet Services Provider) : Proveedor de servicios internet.

KEY : Llave. Se puede traducir por clave de acceso a un software o sistema.

KERBEROS : Sistema de seguridad en el que los login y los passwords van

encriptados.

KEVIN MITNICK : Es el hacker por excelencia!. Sus hazañas se pueden

encontrar en mil sitios en la Red.

LINUX : Sistema operativo de la familia UNÍX.

LOGIN : Para entrar en un sistema por telnet se necesita siempre un login

(nombre) y un password (clave).

MAQUINA : En este texto, habitualmente se utilizara el término máquina para

referirse al ordenador.

MAIL BOMBER : Es una técnica de insulto, que consiste en el envío masivo de

mails a una dirección (para lo que hay programas destinados al efecto) con la

consiguiente problemática asociada para la víctima.

PASSWORD : Contraseña asociada a un login. También se llama así al famoso

fichero de UNIX /etc/passwd que contiene los passwords del sistema.

PPP : Point-to-point protocol... RFC 1661.

117



PASSWORD CRACKER : Ver CRACKEADOR DE PASSWORD.

PGP : Pretty Good Privacy. Es un programa de encriptación de llave publica.

PHRACK : zine sobre hack muy famosa.

PORT SCANNER : Programa que te indica que puertos de una máquina están

abiertos.

ROOT, administrador, sysop : Persona que tiene control total sobre el sistema y

cuyo UID es 0.

ROUTER : Máquina de la red que se encarga de encauzar el flujo de paquetes.

SNIFFER : Es un programa que monitoriza los paquetes de datos que circulan

por una red. Más claramente, todo lo que circula por la red va en paquetes de

datos que el sniffer chequea en busca de información referente a unas cadenas

prefijadas por el que ha instalado el programa.

SHELL : Este concepto puede dar lugar a confusión ya que una shell en un

sistema UNIX es un programa que interactúa entre el Kernel y el usuario,

mientras que en nuestros ambientes significa el conjunto de login y password.

SUNOS : Sistema operativo de Sun.

SOLARIS : Sistema operativo de Sun.

SYSOP : Ver rOOt.

118



TCP/IP : Arquitectura de red con un conjunto de protocolos. Es la que se suele

usar en Internet.

TRACEAR : Seguir la pista a través de la red a una información o de una

persona.

UDP: Protocolo de comunicación que a diferencia del TCP no es orientado a

conexión.

UNIX : Familia de sistemas operativos que engloba a SunOS, Solaris, irix, etc.

VMS : Sistema operativo.

VIRUS : Es un programa que se reproduce a si mismo y que muy posiblemente

atacará a otros programas. Crea copias de si mismo y suele dañar datos,

cambiarlos o disminuir la capacidad de tu sistema disminuyendo la memoria útil

o el espacio libre.

WAR DIALER : Estos son programas (también se podría hacer a mano, pero es

muy pesado) que realizan llamadas telefónicas en busca de modems. Sirve

para buscar máquinas sin hacerlo a través de Internet. Estas máquinas suelen

ser muy interesantes ya que no reciben tantos ataques y a veces hay suerte y

no están tan cerradas.

WORM : Ver gusano.

WINDOWS : Sistema operativo hecho por Microsoft.

ZAP : Zap es un programa que se usa para borrar las huellas en un sistema.

Debido a lo famoso que se ha hecho muchos programas que desarrollan estas

funciones se les llama zappers.

119



ZINE : Revista electrónica.

120

seguridad en internet

Documents