58 INVESTIGACIÓN diaria de dominios (miles de dominios). El malware intenta resolver cada uno de dichos dominios aleatorios. El ataque (quien creó el algoritmo) sabe que dominios serán generados. Una vez que se bloquea un cierto dominio C&C, el atacante puede seleccionar uno de los dominios generados diaria- mente, registrarse y continuar con sus actividades maliciosas. 4) Reconocimiento interno. Se utilizan técnicas de escaneo de ARP, escaneo de SYN (en busca de sesiones medio abiertas), escaneo de FYN, escaneo de puertos (p.e. vía Nmap), etc. En el escaneo de puertos se buscan servicios que están utilizando puertos para comunicarse como http, el 80, DNS, el 53, ver- sión del sistema operativo, etc. Cuando un atacante obtiene una posición en un computador, necesita moverse a lo largo de la organización. El atacante escanea la subred para encontrar servicios explotables y expuestos en otros computadores y plataformas. Una vez que se encuentra un puerto abierto, ocu- rren explotaciones adicionales. 5) Despliegue y distribución: movimiento lateral, herramientas legítimas utilizadas maliciosamente. Se utilizan diferentes técnicas como pasar el hash/ticket, se emplean shares, etc. PSExec es una herramienta legítima de Microsoft, común- mente utilizado por profesionales de IT, permite ejecutar un proceso en una máquina remota de forma interactiva. Los atacantes utilizan esta técnica para desplegar su malware a través de toda la red. Seguidamente se realizan daños y autodestrucción del ataque para no dejar rastros (borrar logs, registros de auditoría, backups, imágenes, etc.). En una situación de no infección el proceso de paso de tickets si la máquina de usuario no tiene malware es el siguiente: primero envía una petición tgt al controlador de dominio, este responde con un tgt firmado, la máquina sin malware realiza la autenticación con éxito, seguidamente envía el tgt actual junto con una petición tgs al controlador de dominio, éste responde con el tgs, seguidamente el computador sin malware envía al servidor de aplicaciones el tgs actual como identificación y éste responde con acceso concedido. Una situación de movimiento lateral se da si existe infección en la máquina de la víctima, el proceso de paso de tickets en este caso si la máquina de usuario tiene malware es el siguiente: primero envía una petición tgt al controlador de dominio, este responde con un tgt firmado, la máquina con malware realiza la autenticación con éxito y roba enviando a la máquina del atacante el tgt, seguidamente la máquina del atacante envía al controlador de dominio el tgt actual y la petición tgs, el controlador de dominio responde a la máquina del atacante el tgs, seguidamente la máquina del atacante envía el tgs actual como identificador al servidor de aplicaciones y éste responde con acceso concedido. 6) Etapas finales: Recogida de datos, Exfiltración de datos, Generación de daños (Revelación de datos, corrupción información, robo servicios, denegación de servicios, etc.), Autodestrucción a bajo nivel sin dejar evidencias forenses. Vulnerabilidades de un sistema y controles IT/OT-ICS/IOT Las vulnerabilidades pueden clasificarse en diversas categorías: (1) Vulnerabilidades físicas. Frente al fuego, inundación, negligen- cia, robo/hurto, terminales saboteados, no redundancia, etc. (2) Interpretación incorrecta. Procedimientos definidos muy pobremente, error de empleados, personal insuficiente, gestión inadecuada, cumplimiento y aplicación inadecuada, etc. (3) Problemas de codificación. Ignorancia, poca concienciación y formación en ciberseguridad, requisitos definidos pobremente, software defectuoso y no auditado ni depurado su código, comunicación no protegida (confidencialidad/integridad/priva- cidad), etc. (4) Comportamiento. Empleados disgustados y enfadados, procesos no controlados, diseño de red muy pobre, equipos configurados incorrectamente, etc.