Seguridad en Arquitectura y Gestión Empresarial: Lab 1

Daniel Navarrete
25 de agosto de 2021

1. Ashley Madisson: Fuga de Datos

1.1. ¿Qué tipos de datos que fueron expuestos?
En el ataque a Ashley Madisson, el grupo The Impact Team, publicó datos personales tales
como nombres, emails, direcciones fı́sicas, los últimos 4 dı́gitos de tarjetas de crédito asociadas
a las cuentas, direcciones IP, información de preferencias y deseos, números de teléfono, código
fuente y datos internos de la empresa. Entre estos datos, se encontraban cuentas creadas con emails
gubernamentales, militares e incluso corporativos.

1.2. ¿Como se logró la exfiltración de datos?

La exfiltración de datos se logró a partir, seguramente, de un ataque a los servidores de la
compañı́a que tenı́an entre sus archivos la base de datos de los usuarios y demás información de la
compañı́a como lo es el código fuente y datos importantes y confidenciales. Probablemente, este
ataque fue realizado con algún tipo de inyección de código para obtener las tablas completas de
las bases de datos. No obstante, las contraseñas y los usuarios fueron “crackeados” debido a que
el cifrado que estaban utilizando para guardar la información no era robusto, además de que no se
les pedı́a a los usuarios tener una contraseña segura, lo cual facilitaba el descifrado de las cuentas
con listas Rainbow.

1.3. ¿Qué mecanismo(s) pudo haberse implementado para evitar la

fuga de datos?
Se pudieron haber implementado mejores llaves de cifrado que no hayan sido atacadas previa-
mente y que tuvieran una mayor cantidad de bits disponibles para las claves. Además de esto,
realizar sanitización de entradas. Pentesting para encontrar vulnerabilidades y también implemen-
tar las soluciones a las mismas.

1
2. Avast: Intrusión y Modificación de Productos
2.1. ¿Cuál era el objetivo final del atacante?
El objetivo final del atacante era tomar control de las cuentas de los empleados para que
estos no pudieran entrar al sistema, y con esto permitirse lanzar una actualización de su servicio
CCleaner probablemente con algún tipo de malware.

2.2. ¿Cómo se logró la modificación de los datos o servicios?

Los atacantes utilizaron una cuenta VPN temporal que se habı́a creado para una situación
especı́fica y no fue borrada, de modo que seguı́a siendo válida y además no requerı́a doble factor
de autenticación. Ya con la cuenta, pudieron ingresar a los computadores de la red interna de
AVAST. Ya dentro de la red, lograron obtener privilegios de administrador y pudieron hacer una
replicación de los servicios de directorio que contenı́an información confidencial y sensible de toda
la red AVAST, incluyendo archivos confidenciales y contraseñas. Con este acceso, lograron cambiar
las contraseñas de cada uno de los empleados de AVAST de modo que estos no podı́an ingresar
al sistema y por tanto no podı́an impedir el lanzamiento de una actualización CCleaner hecha
por los atacantes en nombre de AVAST. Cabe mencionar que todo esto fue hecho de una forma
muy cautelosa y extremadamente sofisticada, pues no fueron detectados por ninguna barrera de
seguridad.

2.3. ¿Qué mecanismo(s) pudo haberse implementado para evitar la

intrusión y la modificación no autorizada?
Utilización de doble factor de autenticación para todas las cuentas creadas en el sistema,
además de eliminar y verificar la eliminación de las cuentas temporales creadas. Incrementar la
seguridad y la autenticación para obtener privilegios de administrador dentro de la red, además,
establecer una lista de los únicos hosts que pueden obtener privilegios de administrador.

2
3. Intrusión y Eliminación de Datos Bancarios
3.1. ¿Cuál era el objetivo final del atacante?
El objetivo final del atacante era realizar un ataque de denegación de servicio y poder hacer no-
disponible los servicios bancarios y de prensa, a partir de la eliminación no autorizada de archivos
esenciales de los sitemas operativos de los equipos haciendolos inservibles.

3.2. ¿Cómo se logró la eliminación de los datos o servicios?

La eliminación de los archivos se dió a partir de la infiltración de una “worm” o gusano que se
infiltró en la red y atacó a todos los computadores de la red que pudo haber sido introducida en la
red desde un paquete enviado desde internet, o en su defecto infiltrado en un computador mediante
una USB por parte de alguien de la compañı́a a propósito o solamente con desconocimiento.

3.3. ¿Qué mecanismo(s) pudo haberse implementado para evitar la

eliminación no autorizada de datos?
Uno de los mecanismos que se pudieron haber implementado actualizaciones en los equipos de
modo que no se pudiera ganar autorización en la red a partir de vulnerabilidades ya corregidas en
actualizaciones. Además, pudieron haber implementado un sistema de Firewall, IDS, Antivirus,
Email Filtering o filtros de emails ası́ como monitoreo de tráfico. Más allá de esto, a partir de
capacitación para los empleados de modo que puedan detectar posibles intentos de intrusión de
malware y puedan reportarlos y no distribuirlos.

4. Autenticación, Autorización y Accounting

4.1. En la sección IV, identifica la ficha para el sector de la industria
en el que trabajas. Identificar los patrones de incidentes más co-
munes, actores, motivaciones, tipos de datos comprometidos, top
de controles de seguridad. Realiza un resumen para tu sector
El sector de la educación ha tenido un año muy difı́cil debido a la pandemia y la necesidad
de migrar en muchos casos completamente a la educación en lı́nea. Asimismo, los ciber-criminales
también han utilizado esta nueva modalidad de educación para explotar al máximo la ingenierı́a
social y obtener beneficios económicos. Ası́ pues, los patrones más comunes de incidentes son debido
a la ingenierı́a social, errores humanos, e intrusión en sistemas. Normalmente, estos patrones son
ejecutados externamente (80 %), pero se han presentado casos internos (20 %). Ahora bien, las
motivaciones son bastante claras y son lideradas por el dinero. La motivación financiera representa
el 96 % de los ataques mientras ese otro 4 % se reparte entre espionaje, diversión, conveniencia y
venganza. Más allá de esto, estos ataques conllevan a el riesgo de los datos personales, credenciales,
medicos y otros. Finalmente, el top de controles de seguridad está compuesto por capacitación de
personal en temas de ciberseguridad, sobre todo para aquellas personas que manejan transferencias
y cuentas de bancos. Otro control hace referencia a la gestión del control de acceso de modo que
haya limitación de privilegios y finalmente en la configuración segura de los sistemas, bases de
datos, etc. de modo que los activos empresariales y de software estén lo más seguro posible.

3
4.2. ¿Cómo puede ayudar la autenticación, autorización y accounting
a incrementar la seguridad en el sector escogido previamente?
La autenticación, autorización y accounting pueden ayudar significativamente a incrementar la
seguridad en el sector de la educación ya que, por un lado, la autenticación es demasiado importante
teniendo en cuenta que los empleados del sector deben saber de una forma u otra la identidad de
la persona que los está solicitando. Por otro lado, la autorización determina los permisos que tiene
cada uno de los empleados y permite controlar de una mejor manera el flujo de información y las
personas que tienen acceso al sector financiero de los colegios, universidad y demás. Finalmente, el
accounting permite realizar un monitoreo constante de las actividades que puede ser sospechosas
y alineadas con un ataque a la institución, pues como se mencionó anteriormente, los ataques
internos representan el 20 % de los ataques que ha habido. Además, permite realizar un análisis de
incidentes de modo que cuando suceda un incidente, si algún empleado está involucrado, se puede
llegar a evidenciar su participación a partir de la actividad que tuvo el dı́a del ataque.

4.3. ¿Cuál de los 11 sectores no tiene control de acceso como parte

de su “Top IG1 Protective Controls”?
Ninguno de los 11 sectores no tiene control de acceso como parte de sus controles preventivos
y protectores, lo cual nos indica que dicho control es sumamente necesario para cualquier tipo
de aplicación, servicio, archivo, etc. que tenga una organización, pues representa una seguridad
basada en el control del acceso que tienen las personas externas como internas a los activos de la
organización.

5. Tipos de Modelos de Control de Acceso

4
 Discretionary Mandatory Role-based Attribute-based
Access Access Access Access
Control (DAC) Control (MAC) Control (RBAC) Control (ABAC)
El acceso por rol es bastante
útil en las empresas que tienen
distintas áreas, como una
Un ejemplo de DAC son El MAC se ve Un ejemplo de ABAC puede
empresa de desarrollo de
los archivos que se comunmente en el ámbito ser el siguiente: permitir
software, en donde los
comparten desde la nube, militar, pues el dueño de únicamente a los usuarios de
desarrolladores tienen un rol,
Describa un puesto que solamente las la información no decide tipo .Admin”que tienen como
los usuarios administrativos
ejemplo personas invitadas a quien tiene acceso a la departamento ”Desarrollo”,
otro, los de marketing otro, pero
participar en el misma, y tampoco puede acceder a las bases de datos
ninguno de ellos puede acceder
documento pueden cambiar el nivel de acceso solamente durante los horarios
a lo que los otros roles si, a
acceder al mismo de la información laborales.
menos que exista o se cree un

5
rol temporal para acceder a
ciertos archivos.
Este modelo tiene una
gran desventaja en el
ABAC tiene una desventaja
hecho de que si un La desventaja que tiene este
Una desventaja es que significativa puesto que este
usuario necesita de modelo es que se deben
es bastante engorroso de modelo de acceso requiere de
manera urgente un establecer la cantidad de roles
Identifique al implementar ya que numerosas polı́ticas de
archivo al cual, por su que tienen los empleados de
menos cada archivo debe tener seguridad que brindan y
nivel de acceso, no puede una empresa, por lo que se
una desventaja una lista de usuarios que restringen acceso con base en
acceder, no podrá hacerlo deben crear bastantes roles
pueden y no pueden distintas caracterı́sticas del
hasta que le escalen sus ya que hoy en dı́a las empresas
acceder a dicho archivo usuario y el archivo, por lo que
privilegios o una persona tienen bastantes roles.
es muy difı́cil de implementar
con mayor nivel de acceso
se lo pueda mostrar