60 5) Enlaces simbólicos. Se refiere a un fichero que señala a otro fichero. Un atacante puede explotar una vulnerabilidad de link simbólico para señalar a un fichero destino para el que un pro- ceso de sistema operativo tiene permisos de escritura. 6) Descriptor de fichero. Un fichero utiliza números de un sis- tema para seguir la pista de los ficheros en contraposición a los nombres de ficheros. La explotación de una vulnerabilidad de descriptor de fichero permite a un atacante la posibilidad de ganar privilegios elevados para programar ficheros relacionados. 7) Fallos en el diseño. Ocurren en el propio diseño que no ha sido auditado adecuadamente. 8) Race condition. Ocurre cuando un programa intenta ejecu- tar un proceso y el objeto cambia concurrentemente entre referencias repetidas permitiendo que un atacante gane privi- legios elevados mientras un programa o proceso esta en modo privilegiado. 9) Permisos incorrectos de fichero / directorio. Un permiso incorrecto asociado a un fichero o directorio da lugar a no asignar apropiadamente procesos y usuarios. El explotar esta vulnerabilidad puede permitir que ocurra una multitud de ataques 10) Ingeniería social. El proceso de utilizar interacciones sociales para adquirir información sobre una víctima o sistema de com- putación. Estos tipos de ataques proporcionan alternativas rápidas para descubrir información para ayudar a un ataque que en circunstancias normales no pueden estar disponibles. 11) Spear Phishing. Por ejemplo, se utiliza en RAT Shady. Algunas estrategias para prevenir que un dropper (malware) acceda a su dispositivo de computación: 1) Desde sitios Web. Si no se esta seguro de la reputación de algún sitio Web donde se nos pide la instalación de un cierto software, abandone el sitio e investigue el referido software. Si esta limpio y es correcto (vía exploración anti-malware) vuelva al sitio Web e instálelo. Si no es correcto evítese una infección por malware. 2) Desde correos electrónicos. No confiar en nada asociado a los correos electrónicos spam ya que pueden ir asociados con malware (concepto de mspam). No pulsar en links o abrir fiche- ros adjuntos que transporte, no instalar nada que este tipo de correos para evitar infectarse por malware. 3) Desde medios físicos. No conecte en su dispositivo de compu- tación pendrives USB (discos o drive flash) que pueden llevar ficheros infectados procedentes de amigos, familia, empresas de actualización del software. Se debe escáner primero y si no se esta seguro no aceptar dichos ficheros. 4) Desde ventanas emergentes o pop-up. Algunas ventanas emergentes o boxes intentarán acorralarle para que descar- gue algún tipo de software o acepte un escaneo del sistema de algún tipo, por ejemplo, con un antivirus contaminado. Frecuentemente se emplean tácticas sutiles para hacerle creer que necesita lo que le ofrecen para estar a salvo. Lo que se debe hacer es cerrar la ventana emergente sin hacer clic en nada que se encuentre en dicha pantalla (botones aceptar, cerrar, abandonar e incluso la X de la esquina superior). Se debe cerrar la pantalla utilizando el Windows Task Manager presionando Ctrl-Alt-Delete y por ejemplo cerrando sesión. 5) Desde otro fragmento de software. Algunos programas inten- tan instalar malware como una parte de su propio proceso de instalación. Cuando instale software, ponga atención de los message boxes antes de hacer clic en OK, Next o I Agree. Escanee el acuerdo de usuario en busca de algo que sugiera malware, ya que ser una parte de la instalación. Si no se esta seguro, cancelar la instalación comprobar el programa y ejecu- tar de nuevo la instalación si se determina con un antimalware que es seguro. Servicios, objetivos y medidas de seguridad contra ciber-ataques Para poder hacer frente a amenazas avanzadas y ciber-armas es necesario desplegar arquitecturas sofisticadas de defensa en pro- fundidad que fomenten el aseguramiento de la información y la resiliencia: 1) Disponibilidad. Cualquier usuario o entidad de un disposi- tivo o el propio dispositivo debe ser capaz de poder acceder a los servicios, independientemente del lugar y hora cuando lo necesite y a tiempo para ello debe contar con mecanismos de redundancia. Según el tipo de sistema tendrá diferen- tes requisitos de disponibilidad, por ejemplo, un sistema de monitorización de incendios o de salud en un hospital tendrá mayores necesidades de disponibilidad que un módulo de sensores de contaminación en una autopista. El propósito de la disponibilidad es que los datos/recursos se encuentren accesibles cuando se les necesite. Entre las amenazas a la dis- ponibilidad la corrupción o borrado de datos, la DoS/DDoS, el cifrado o esteganografía ilegal de datos (sería en caso de las amenazas del tipo ransomware como WannaCry, NotPetya, Cryptolocker, Locky, Petya, etc.), el actuar maliciosamente contra la alimentación eléctrica, etc. Como métodos de pro- tección utilizar redundancia y copias de seguridad/backups, utilizar entornos robustos y resilientes (frente a cuestiones de alimentación eléctrica (SAI, grupos electrógenos con filtros anti-picos maliciosos), frente a problemas de comunicación, inhibidores de RF, frente a fallos del sistema), etc. 2) Autenticación, autenticidad y autorización. La autenticación puede ser dispositivo a dispositivo (M2M), humano a dispo- sitivo y humano a humano. La autenticación es el proceso de probar que una entidad es quien dice ser. Puede ser simple de cliente a un validador-servidor o puede ser mutua donde ambos extremos se autentican mutuamente de esta forma se impide el phishing. La autenticación puede ser multi-factor (lo que uno sabe, lo que uno tiene-lleva, lo que uno es-biometría fisiológica o de comportamiento, donde esta uno, que hora y fecha es, recibir una segunda contraseña por SMS, correo electrónico, etc.). La autenticación puede ser sin revelar la contraseña utilizando tecnología ZK. La autorización permite que sólo las entidades autenticadas puedan realizar ciertas operaciones (privilegios, derechos de acceso, etc. como leer, escribir, ejecutar, borrar, cerrar, ordenar, abrir, disparar, etc.) en un sistema, red, ecosistema, etc. El propósito de la auten- ticidad es mantener auténticos los datos, en el mismo estado en que fueron creados, almacenados o transferidos. Entre las amenazas a la autenticidad modificar los datos en todas sus formas incluidos sus metadatos. Como métodos de protección backups, hash, MACs, etc. 3) Posesión. El propósito de la posesión es que los datos sean pro- piedad o se encuentren controlados por un usuario correcto. Entre las amenazas a la posesión robar datos, quitar los datos de un entorno seguro. Como métodos de protección utilizar seguridad física, control de acceso, sandboxing, VLANs, etc. 4) Integridad. Permite saber si algo se ha modificado (software o hardware), por ejemplo, un sistema de monitorización de clien- INVESTIGACIÓN