2. ¿Qué esVulnerabilidad?
• Debilidad de cualquier tipo que compromete la seguridad del sistema
informático.
Tomada de: http://es.123rf.com/imagenes-de-
archivo/vulnerabilidad.html
3. ¿Cómo se clasifican?
En función del:
• Diseño
• Implementación
• Uso
• Vulnerabilidad del día cero
Tomada de:
http://www.muycomputerpro.com/2014/03/10/v
ulnerabilidades-software
4. En función del diseño
Se puede presentar:
• Debilidad en el diseño de protocolos utilizados en las redes.
• Políticas de seguridad deficientes o inexistentes.
Tomada de:
http://www.ciospain.es/seguridad/la-
acumulacion-de-politicas-de-seguridad-
provoca-agujeros-en-las-redes-corporativas
5. En función de la Implementación
• Errores de programación.
• Existencia de “puertas traseras” en los sistemas informáticos.
• Descuido de los fabricantes.
Tomada de:
http://marlonalvaradoredes.blogspot.com.co/2
014/06/protocolos-de-red-que-es-un-
protocolo.html
6. En función del uso
• Mala configuración del sistema
informático.
• Desconocimiento y falta de
sensibilización de los usuarios y de los
responsables de la informática.
• Disponibilidad de herramientas que
facilitan los ataques.
• Limitación gubernamental de
tecnologías de seguridad.
Tomada de:
http://www.bbc.com/mundo/noticias/2015/05/1
50508_tecnologia_como_saber_si_te_roban_wi
fi_lv
7. Vulnerabilidad del día cero
• Se incluyen aquí las que no tiene
una solución “conocida” pero se
sabe como explotarla.
• Se considera como el más
peligroso por cuanto dejan una
“ventana” de tiempo en el cual se
pueden atacar los sistemas
informáticos.
Tomada de:
https://www.youtube.com/watch?v=u8xtlF62T
QU
8. Vulnerabilidades conocidas
DE DESBORDAMIENTO DEL
BUFFER
Si un programa no controla la
cantidad de datos que se almacenan
en el buffer, se puede sobrepasar su
capacidad y lo que sobra se almacena
en zonas de memoria adyacentes.
Esto se aprovecha para ejecutar
códigos que den privilegios de
administrador.
Tomada de:
http://sp.depositphotos.com/4246591/stock-
photo-text-coming-out-of-laptop.html
9. Vulnerabilidades conocidas
DE CONDICIÓN DE CARRERA
Varios procesos acceden al mismo
tiempo a un recurso compartido
dando resultado a un valor no
esperado.
Tomada de: http://amosantiago.cl/maraton-de-
santiago-el-momento-de-llegar-a-la-meta/
10. Vulnerabilidades conocidas
CROSS SITE SCRIPTING (XSS)
Sucede en las aplicaciones web que
permite inyectar códigoVBScript o
JavaScript en páginas vistas por el
usuario, la víctima piensa está
accediendo a una URL de confianza
pero realmente accede a otro sitio
diferente.
Tomada de: http://www.diaadia.com.ar/tu-
tecnologia/siete-claves-para-cuidar-la-
seguridad-en-internet
11. Vulnerabilidades conocidas
DENEGACIÓN DEL SERVICIO
Servicio o recurso no disponible para
usuarios que provoca pérdida de la
conectividad de red por consumo del
ancho de banda o sobrecarga de los
recursos informáticos.
Tomada de: http://www.fernandojavier.com/el-
tse-se-volvio-a-aplazar-en-internet
12. Vulnerabilidades conocidas
VENTANAS ENGAÑOSAS
(WINDOW SPOOFING)
Son las que dicen que eres ganador de
algo sólo para sacarle al usuario
información. Otras tienen enlaces y si
los sigues obtienen datos del
computador para luego atacar.
Tomada de:
http://sistemadif.jalisco.gob.mx/fuerzapke/por-
tu-seguridad/para-adolescentes
13. ¿Qué herramientas puedo usar para
identificarlas?
NESSUS
De arquitectura Cliente – Servidor Open Source.
Dispone de una base de datos de patrones de ataque que lanza contra la
máquina y así localiza vulnerabilidades.
Tomada de:
http://john.orrego.org/intec/so/linux/2015/04/28
/instalar-nessus-en-linux-debian/
14. ¿Qué herramientas puedo usar para
identificarlas?
CATBIRD
Usa un portal para la gestión centralizada de vulnerabilidades, analiza la red
externa e internamente. Además hace monitorio de servicios de red.
Tomada de: http://www.catbird.com//
15. ¿Qué herramientas puedo usar para
identificarlas?
Microsoft Baseline Security Analyzer
Permite verificar la configuración de seguridad, detectando los posibles
problemas en el Sistema Operativo y los componentes instalados.
Tomada de:
http://www.intercambiosvirtuales.org/software/
microsoft-baseline-security-analyzer-v2-3-
mbsa-para-it-profesional
16. Referencias Bibliográficas
• Mifsud, E. (2012). Introducción a la seguridad informática. Recuperado de
http://recursostic.educacion.es/observatorio/web/es/software/software-
general/1040-introduccion-a-la-seguridad-informatica?format=pdf
• Wikipedia. (Última modificación 12 de mayo de 2016). Ataque de día cero. No
registra lugar de publicación: Wikipedia. Recuperado de
https://es.wikipedia.org/wiki/Ataque_de_d%C3%ADa_cero