Explicación:  DDoS es un ataque de denegación de servicio distribuido. Un ataque DDoS se lanza desde múltiples fuentes coordinadas. Las fuentes del ataque son hosts zombies que el ciberdelincuente creó en un botnet. Cuando esté listo, el ciberdelincuente le indica al botnet de zombies que ataque el blanco elegido.

Explicación:  Los ataques de inanición de DHCP crean una denegación de servicio para los clientes de red. El atacante envía mensajes de detección de DHCP que contienen direcciones MAC falsas en un intento de tomar todas las direcciones IP. Por el contrario, la suplantación de DHCP se produce cuando un ciberdelincuente configura un servidor DHCP dudoso para proporcionar a los clientes de red información de configuración de IP incorrecta.

Explicación:  Los ataques ARP pueden ser pasivos o activos. El resultado de un ataque pasivo es el robo de información confidencial por parte de los ciberdelincuentes. Con un ataque activo, los ciberdelincuentes modifican datos en tránsito o inyectan datos maliciosos.

Explicación:  Los scripts entre sitios (XSS) permiten que los delincuentes inyecten los scripts que contienen el código malicioso en las aplicaciones web.

Explicación:  SQL es el lenguaje que se utiliza para consultar una base de datos relacional. Los ciberdelincuentes usan inyecciones SQL para obtener información, crear consultas falsas o maliciosas, o violar la base de datos de alguna otra manera.

Explicación:  Los gusanos son fragmentos de software que se autoduplican y que consumen el ancho de banda de una red al propagarse de sistema en sistema. A diferencia de los virus, no requieren una aplicación host. Por su parte, los virus llevan consigo código malintencionado ejecutable que daña al equipo de destino en el que residen.

Explicación:  Un gusano se pueden instalar en una computadora mediante un archivo adjunto a un correo electrónico, un archivo de programa ejecutable o un caballo de Troya. El ataque de gusano afecta a una computadora y, además, se replica en otras computadoras. El gusano deja en el camino la carga útil, que es el código que genera una determinada acción.

Explicación:  Un virus es código malicioso que se adjunta a programas legítimos o archivos ejecutables. La mayoría de los virus requieren la activación del usuario final, pueden permanecer inactivos durante un período prolongado y luego activarse en un momento o en una fecha en particular. Un gusano, por otra parte, ejecuta un código arbitrario e instala copias de sí mismo en la memoria de la computadora infectada. El propósito principal de un gusano es la replicación automática para propagarse rápidamente a través de una red. Un gusano no necesita un programa host para ejecutarse.

Explicación:  La ingeniería social busca ganar la confianza de un empleado y convencerlo de que divulgue información confidencial, como nombres de usuario y contraseñas. Los ataques de DDoS, el correo no deseado y el registro de pulsaciones de teclas son ejemplos de amenazas de seguridad basadas en software; no son un tipo de ingeniería social.

Explicación:  Los ataques de reconocimiento intentan recopilar información sobre los objetivos. Los barridos de ping indicarán cuales hosts están activos y responden a los pings, mientras que los escaneos de puertos indicarán en qué puertos TCP y UDP está escuchando el objetivo las conexiones entrantes. Los ataques Man-in-the-middle y de fuerza bruta son ejemplos de ataques de acceso, y una saturación de SYN (SYN flood) es un ejemplo de ataque de denegación de servicios (Denial of Services DoS).

Explicación:  La suplantación de direcciones MAC (MAC address spoofing) se utiliza para evadir las medidas de seguridad al permitir que un atacante suplante un dispositivo host legítimo, generalmente con el propósito de recopilar tráfico de red.

Explicación:  La información opcional de capa 3 sobre la fragmentación, la seguridad y la movilidad se incluye en los encabezados de extensión de un paquete IPv6. El encabezado siguiente del encabezado IPv6 apunta a estos encabezados de extensión opcionales si están presentes.

Explicación:  Un ataque de reconocimiento consiste en la detección y la asignación no autorizadas de sistemas, servicios o vulnerabilidades. Uno de los ataques de reconocimiento más comunes se realiza mediante las utilidades que detectan automáticamente los hosts en las redes y determinan qué puertos están atentos actualmente a las conexiones.

Explicación:  Los mensajes ICMP comunes que resultan de interés para los atacantes incluyen los siguientes:
ICMP echo request y echo reply: se utiliza para realizar la verificación del host y ataques DoS.
ICMP unreachable: se utiliza para realizar ataques de reconocimiento y escaneo (análisis) de la red.
ICMP mask reply: se utiliza para mapear una red IP interna.
ICMP redirects: se utiliza para lograr que un host objetivo envíe todo el tráfico a través de un dispositivo comprometido y crear así un ataque Man-in-the-middle.
ICMP router discovery: se utiliza para inyectar entradas de rutas falsas en la tabla de routing de un host objetivo

Explicación:  Las ACL de filtrado de paquetes utilizan reglas para filtrar el tráfico entrante y el tráfico saliente. Estas reglas se definen mediante la especificación de direcciones IP, números de puertos y protocolos que se vincularán entre sí. Los actores de amenazas pueden utilizar un ataque de reconocimiento que implique escaneo de puertos o pruebas de penetración para determinar qué direcciones IP, protocolos y puertos permiten las ACL.

Explicación:  Los piratas (hackers) de sombrero gris pueden hacer cosas poco éticas o ilegales, pero no para beneficio personal o para causar daños. Los hacktivistas usan su piratería como una forma de protesta política o social, y los agentes de vulnerabilidad piratean para descubrir debilidades y reportarlas a los vendedores. Dependiendo de la perspectiva que uno posea, los piratas (hackers) patrocinados por el estado son operadores de sombrero blanco o de sombrero negro. Los Script kiddies (individuo no calificado que utiliza scripts o programas desarrollados por otros para atacar sistemas informáticos) crean guiones de piratería para causar daños o interrupciones. Los delincuentes cibernéticos utilizan la piratería para obtener ganancias financieras por medios ilegales.

Explicación:  Por lo general, los agentes de vulnerabilidad son hackers de sombrero gris que intentan descubrir las vulnerabilidades e informarlas a los proveedores, a veces a cambio de premios o recompensas.

Explicación:  En un ataque de denegación de servicio (DoS), el objetivo del atacante es impedir que los usuarios legítimos tengan acceso a servicios de red.

Explicación:  El ataque man-in-the-middle es un ataque común relacionado con IP donde los agentes de amenazas se posicionan entre una fuente y un destino para monitorear, capturar y controlar la comunicación de manera transparente.

Explicación:  Los Fuzzers son herramientas usadas por los atacantes cuando intentan descubrir las vulnerabilidades de seguridad de un sistema informático. Algunos ejemplos de fuzzers son: Skipfish, Wapiti y W3af.

Explicación:  Para analizar el tráfico de red que atraviesa un switch, puede utilizarse el analizador de puertos conmutados (SPAN). El SPAN puede enviar una copia del tráfico desde un puerto a otro puerto en el mismo switch donde un dispositivo del analizador de red o de monitoreo está conectado. El SPAN no se requiere para syslog o SNMP. El SPAN se utiliza para duplicar el tráfico, mientras que syslog y SNMP se configuran para enviar datos directamente al servidor correspondiente.

Explicación:  Los ciberdelincuentes utilizan fast flux, doble flujo IP y algoritmos de generación de dominio para atacar los servidores DNS y afectar a los servicios DNS. Fast flux es una técnica utilizada para ocultar los sitios de aplicación de malware y suplantación de identidad detrás de una red que cambia rápidamente de hosts DNS comprometidos (bots dentro de botnets). La técnica de doble flujo IP cambia rápidamente el nombre de host por asignaciones de dirección IP y el servidor de nombres autoritativo. Los algoritmos de generación de dominio generan nombres de dominio al azar para ser utilizados como puntos de encuentro.

Explicación:  En los ataques de suplantación DHCP (DHCP spoofing), un atacante configura un servidor DHCP falso en la red para que proporcione direcciones DHCP a los clientes con el objetivo de forzar a los clientes a utilizar una puerta de enlace por defecto falsa o no válida. El DHCP snooping (espionaje DHCP) es una función de los switch de Cisco que puede mitigar los ataques DHCP. Agotamiento direcciones MAC (MAC address starvation) y el snooping de direcciones MAC no son ataques de seguridad reconocidos. La suplantación (spoofing) de direcciones MAC es una amenaza para la seguridad de red

Explicación: Las plataformas de seguridad SOAR ofrecen estas funcionalidades:

• Recopilar datos de alarma de cada componente del sistema
• Proporcionar herramientas que permitan investigar, evaluar e investigar casos
• Enfatizar la integración como medio de automatizar flujos de trabajo de respuesta a incidentes complejos que permiten una respuesta más rápida y estrategias de defensa adaptativa
• Incluye manuales predefinidos que permiten una respuesta automática a amenazas específicas

Explicación:  NetFlow no captura todo el contenido de un paquete. NetFlow, en cambio, recopila metadatos o datos sobre el flujo, no los datos del flujo propiamente. La información de NetFlow puede verse a través de herramientas como nfdump y FlowViewer.

Explicación:  SPAN es una tecnología de Cisco utilizada por los administradores de red para monitorear el tráfico sospechoso o para capturar el tráfico que será analizado.

Explicación:  Recopilar información sobre una red y buscar oportunidades de acceso es un ataque de reconocimiento. Impedir que otros usuarios accedan a un sistema es un ataque de denegación de servicio. Intentar recuperar y modificar datos, e intentar escalar privilegios de acceso son tipos de ataques de acceso.

Explicación:  Los ataques de denegación de servicio (DoS) intentan interrumpir el servicio en la red al enviarle a dispositivo especial una cantidad abrumadora de datos para que ningún otro dispositivo pueda acceder al dispositivo atacado o al enviar paquetes mal formados.

Explicación:  El ataque de saturación de SYN de TCP ataca la comunicación de tres vías de TCP. El atacante envía constantemente a un objetivo paquetes de solicitud de sesión TCP SYN con una dirección IP de origen falsificada de manera aleatoria, hacia el objetivo previsto. El dispositivo de destino responde con un paquete SYN-ACK de TCP a la dirección IP falsificada y espera un paquete ACK de TCP. Las respuestas nunca llegan. Eventualmente el host objetivo es saturado con las conexiones TCP medio abiertas y deniega los servicios TCP.

Explicación:  Para poder detener la tunelización de DNS (DNS tunneling), debe utilizarse un filtro que inspeccione el tráfico de DNS. También, las soluciones de DNS, como Cisco OpenDNS, bloquean gran parte del tráfico de tunelización DNS identificando dominios sospechosos.

Explicación:  Un elemento HTML conocido como trama en línea o iFrame permite que el navegador cargue una página web diferente de otra fuente.

Explicación:  La suplantación de identidad, el spyware y la ingeniería social son ataques de seguridad que apuntan a recopilar información de la red y de los usuarios. El adware consta, generalmente, de ventanas emergentes molestas. A diferencia de un ataque DDoS, ninguno de estos ataques genera grandes cantidades de tráfico de datos que pueden restringir el acceso a los servicios de red.

Explicación:  Un caballo de Troya es un software que ocasiona un daño, pero que está oculto en el código de software legítimo. Un ataque de denegación de servicio (DoS) genera la interrupción de los servicios de la red para usuarios, dispositivos de red o aplicaciones. Un ataque de fuerza bruta implica, comúnmente, tratar de acceder a un dispositivo de red. Un desbordamiento del búfer se produce cuando un programa intenta almacenar una cantidad de datos en una ubicación de la memoria superior a la que esta puede contener.

Explicación:  Los ataques de denegación de servicio de desbordamiento del búfer y el ping de la muerte aprovechan fallas relacionadas con la memoria del sistema en un servidor mediante el envío de una cantidad inesperada de datos o datos con formato incorrecto al servidor.

Explicación: Los hackers utilizan los siguientes métodos para evitar ser detectados:
Cifrado y tunelizado: ocultar o codificar el contenido del malware
Agotamiento de recursos: mantiene el dispositivo host demasiado ocupado como para detectar la invasión
Fragmentación de tráfico: divide el malware en varios paquetes
Interpretación errónea a nivel de protocolos: se escabulle por el firewall
Pivoting: utiliza un dispositivo de red comprometido para intentar acceder a otro dispositivo
Rootkit: permite que el hacker no sea detectado y esconde el software instalado por el hacker

Explicación: Los hackers de sombrero blanco son en realidad «buenos muchachos» y las empresas y los gobiernos les pagan para probar vulnerabilidades de seguridad de modo que los datos estén mejor protegidos.

Explicación: La aceptación de riesgos sucede cuando el costo de las opciones de gestión del riesgo sobrepasa el costo del riesgo mismo, el riesgo es aceptado, y no se toma ninguna medida de prevención al respecto.

Explicación: El Sistema de administración de información y eventos de seguridad (SIEM) es una tecnología que se utiliza en organizaciones empresariales para proporcionar informes en tiempo real y análisis a largo plazo de los eventos de seguridad. Splunk es un sistema SIEM patentado.

Explicación: Un «ARP innecesario» (gratuitous ARP) es usualmente enviado cuando un dispositivo se inicia por primera vez para informar a todos los demás dispositivos de la red local sobre la dirección MAC del dispositivo nuevo.

Explicación: NetFlow es una tecnología Cisco IOS que proporciona estadísticas y caminos de auditoría completos en flujos TCP/IP en la red. Algunas de las funciones de NetFlow son: monitoreo de red y seguridad 24×7, planificación de red, análisis de tráfico, identificación de los cuellos de botella de la red y la contabilidad de IP para fines de facturación.

Explicación: La CISA de Estados Unidos utiliza un sistema llamado Intercambio Automatizado de Indicadores (AIS, siglas en inglés). El sistema AIS comparte vectores e indicadores de ataque verificados con los sectores públicos y privados.

Explicación: Síntomas comunes de computadoras infectadas con malware:

• Aparición de archivos, aplicaciones o iconos de escritorio
• Herramientas de seguridad, como software antivirus o firewalls, desactivada o modificadas
• Bloqueos del sistema
• Correos electrónicos enviados espontáneamente a otros usuarios
• Archivos modificados o faltantes
• Respuesta lenta del sistema o del navegador
• Ejecución procesos o servicios desconocidos
• Puertos TCP o UDP desconocidos abiertos
• Establecimiento de conexiones con dispositivos remotos desconocidos

Explicación:  Los Hackers utilizan rootkits para evitar ser detectados y para ocultar cualquier software que instalen.