Fundamentos Técnicos Iniciales – Certisysnet Solutions

1. 🧱 Modelo OSI y su Relación con los Ataques de Red

El modelo OSI (Open Systems Interconnection) divide la comunicación en redes en 7 capas lógicas. Este enfoque permite analizar el tráfico, detectar fallos y ejecutar ataques o defensas de forma específica por nivel.

En ciberseguridad ofensiva, el modelo OSI es una guía estratégica: cada capa representa un posible vector de ataque. En defensa, permite implementar controles por capas (defense in depth).

Capa 1 – Física: Se encarga de la transmisión de bits a nivel eléctrico o físico.

⚠️ Ataques:
- Intercepción física de cables (network tapping).
- Instalación de dispositivos maliciosos (hardware implants, keyloggers físicos).
- Interferencia electromagnética o sabotaje.
🔎 Ejemplo real: Un atacante accede a un switch en una oficina y conecta un dispositivo para capturar tráfico interno.
Capa 2 – Enlace de Datos: Maneja direcciones MAC y comunicación dentro de la red local (LAN).

⚠️ Ataques:
- ARP Spoofing / ARP Poisoning.
- MAC Flooding (desbordamiento de tablas CAM).
- VLAN Hopping.
🔎 Ejemplo real: Un atacante usa herramientas como ettercap para posicionarse como Man-in-the-Middle dentro de la red corporativa.
Capa 3 – Red: Encargada del direccionamiento IP y el enrutamiento.

⚠️ Ataques:
- IP Spoofing.
- Manipulación de rutas (BGP Hijacking).
- ICMP tunneling para evadir controles.
🔎 Ejemplo real: Un atacante oculta tráfico malicioso dentro de paquetes ICMP para evadir firewalls.
Capa 4 – Transporte: Gestiona conexiones (TCP/UDP) y puertos.

⚠️ Ataques:
- Escaneo de puertos (reconocimiento).
- SYN Flood (DoS).
- Session Hijacking.
🔎 Ejemplo real: Uso de herramientas como Nmap para identificar servicios vulnerables y lanzar ataques dirigidos.
Capa 5 – Sesión: Controla el establecimiento y mantenimiento de sesiones.

⚠️ Ataques:
- Session Hijacking.
- Replay Attacks.
- Interrupción de sesiones activas.
🔎 Ejemplo real: Robo de sesiones web mediante cookies no seguras para acceder a cuentas sin autenticación.
Capa 6 – Presentación: Se encarga del formato, cifrado y codificación de datos.

⚠️ Ataques:
- Explotación de cifrado débil (SSL/TLS downgrade).
- Manipulación de datos codificados (Base64, JSON, XML).
- Deserialización insegura.
🔎 Ejemplo real: Ataques a aplicaciones que aceptan objetos serializados manipulados para ejecutar código remoto.
Capa 7 – Aplicación: Interactúa directamente con el usuario y aplicaciones.

⚠️ Ataques:
- SQL Injection.
- Cross-Site Scripting (XSS).
- File Upload Vulnerabilities.
- Command Injection.
🔎 Ejemplo real: Un atacante explota un formulario web vulnerable para acceder a bases de datos o ejecutar comandos en el servidor.

🔧 Ejemplo práctico completo (Cadena de ataque real):

💣 Un atacante compromete una empresa desde múltiples capas:

📡 Capa 2 → ARP Spoofing para interceptar tráfico interno.
🌐 Capa 3 → Tuneliza datos para evadir detección.
🚪 Capa 4 → Escanea puertos y detecta servicios vulnerables.
🧠 Capa 7 → Explota una SQL Injection en la aplicación web.
🚀 Resultado → Acceso completo, exfiltración de datos y movimiento lateral.

🚨 Este tipo de ataques encadenados es común en pentesting avanzado y escenarios reales de intrusión.

⚔️ Enfoque ofensivo (Pentesting):

Un pentester utiliza el modelo OSI para:

Identificar en qué capa atacar primero (reconocimiento).
Encadenar vulnerabilidades entre capas.
Escalar privilegios desde red hasta aplicación.

🛡️ Enfoque defensivo:

Las organizaciones deben proteger cada capa:

Capa 2 → VLANs, Port Security
Capa 3 → Firewalls, IDS/IPS
Capa 4 → Rate limiting, protección DDoS
Capa 7 → WAF, validación de inputs

🧠 Importancia: Comprender el modelo OSI permite detectar vulnerabilidades desde el nivel físico hasta la lógica de negocio, facilitando ataques más efectivos o defensas más robustas.

2. 🌐 Conceptos Básicos de TCP/IP

TCP/IP es la base de todas las comunicaciones modernas en redes. Este conjunto de protocolos permite que dispositivos se identifiquen, se comuniquen y transfieran datos de forma estructurada a través de Internet o redes internas.

En ciberseguridad ofensiva, comprender TCP/IP es crítico para ejecutar técnicas como escaneo de redes, enumeración, evasión de controles, spoofing y explotación de servicios. Cada componente del modelo puede ser analizado o manipulado para identificar vulnerabilidades.

Direcciones IP: Son identificadores únicos asignados a cada dispositivo en una red.

🔍 Tipos:
- Privadas: 192.168.x.x, 10.x.x.x, 172.16.x.x → usadas en redes internas.
- Públicas: visibles en Internet, asignadas por ISPs.
⚠️ Uso en ataques:
- Reconocimiento de rangos IP para identificar hosts activos.
- IP Spoofing para suplantar identidad.
🔎 Ejemplo real: Un atacante escanea el rango 192.168.1.0/24 para detectar servidores internos vulnerables.
Subredes: Permiten dividir redes en segmentos lógicos mediante máscaras de red.

🔍 Ejemplo:
- /24 → 255.255.255.0 (256 hosts posibles).
- /16 → redes más grandes (65,536 hosts).
⚠️ Uso en ataques:
- Enumeración de segmentos internos.
- Pivoting entre subredes comprometidas.
🔎 Ejemplo real: Tras comprometer una máquina, el atacante identifica nuevas subredes accesibles y se mueve lateralmente.
Puertos: Representan puntos de acceso a servicios en un sistema.

🔍 Clasificación:
- 0–1023 → puertos bien conocidos (HTTP 80, HTTPS 443, SSH 22).
- 1024–49151 → registrados.
- 49152–65535 → dinámicos/efímeros.
⚠️ Uso en ataques:
- Escaneo de puertos para identificar servicios expuestos.
- Explotación de servicios vulnerables (FTP, SMB, RDP).
🔎 Ejemplo real: Un atacante detecta el puerto 445 abierto (SMB) y lanza ataques de enumeración o explotación.
ICMP: Protocolo utilizado para diagnóstico y control de red.

🔍 Funciones:
- ping → verifica si un host está activo.
- traceroute → identifica la ruta de red.
⚠️ Uso en ataques:
- Descubrimiento de hosts activos (ICMP sweep).
- Túneles ICMP para evadir firewalls.
🔎 Ejemplo real: Un atacante envía paquetes ICMP para mapear la red sin levantar sospechas.

🔧 Ejemplo práctico (Pentesting en red empresarial):

💻 Un atacante inicia reconocimiento:

📡 Escanea rango IP → detecta hosts activos (192.168.1.0/24).
🚪 Escanea puertos → identifica servicios (SSH, HTTP, SMB).
🧠 Analiza subredes → descubre segmentos internos adicionales.
📨 Usa ICMP → mapea la infraestructura sin alertar IDS.

🚨 Resultado: obtiene un mapa completo de la red para lanzar ataques dirigidos.

⚔️ Enfoque ofensivo (Pentesting):

TCP/IP permite:

Enumerar hosts y servicios.
Identificar vectores de entrada.
Evadir controles mediante técnicas como tunneling o spoofing.

🛡️ Enfoque defensivo:

Para proteger la red se debe:

Filtrar tráfico innecesario (firewalls).
Segmentar redes correctamente.
Monitorear tráfico ICMP y puertos.
Aplicar hardening a servicios expuestos.

⚙️ Aplicación práctica: Cada uno de estos elementos es clave en un pentest para mapear la red, identificar vulnerabilidades, evadir controles y comprometer sistemas.

3. 🔁 Diferencias entre TCP y UDP

Ambos protocolos pertenecen a la capa 4 (transporte) pero tienen comportamientos distintos. Elegir el protocolo correcto es esencial al analizar servicios, realizar escaneos o construir payloads personalizados.

TCP: Protocolo orientado a conexión. Se establece un handshake antes de enviar datos. Garantiza entrega y orden.
UDP: Protocolo sin conexión. No hay garantía de entrega. Más rápido, ideal para transmisión masiva y ataques sigilosos.
En Pentesting: Escaneos TCP son más visibles pero precisos. UDP permite detectar servicios no tradicionales y evade muchos IDS/IPS.

🕵️‍♂️ Uso ofensivo: Los ataques DoS, fuzzing y escaneos stealth aprovechan la naturaleza de UDP para evitar detección.

4. 🔌 Función de los Servicios de Red

Los servicios de red son procesos activos que escuchan en puertos específicos y permiten la comunicación entre sistemas. Cada servicio expuesto representa una superficie de ataque potencial que puede ser analizada, enumerada y explotada.

En un escenario de pentesting real, la identificación de servicios es una de las primeras fases críticas, ya que define los posibles vectores de entrada hacia el sistema objetivo.

HTTP (80) / HTTPS (443): Servicios web que exponen aplicaciones, APIs, paneles administrativos y portales.

⚠️ Riesgos comunes:
- SQL Injection (SQLi).
- Cross-Site Scripting (XSS).
- File Upload vulnerable.
- Exposición de endpoints API.
🔎 Ejemplo real: Un atacante detecta un login vulnerable y ejecuta una SQLi para obtener acceso a la base de datos.
FTP (21) / SFTP (22): Protocolos para transferencia de archivos entre sistemas.

⚠️ Riesgos comunes:
- Acceso anónimo habilitado.
- Credenciales débiles o en texto plano (FTP).
- Exposición de archivos sensibles.
🔎 Ejemplo real: Un servidor FTP permite acceso anónimo y expone archivos con credenciales internas.
SSH (22) / Telnet (23): Acceso remoto a sistemas.

⚠️ Riesgos comunes:
- Fuerza bruta de credenciales.
- Uso de contraseñas débiles.
- Telnet transmite datos sin cifrar.
🔎 Ejemplo real: Un atacante ejecuta un ataque de fuerza bruta sobre SSH y obtiene acceso root.
MySQL (3306) / PostgreSQL (5432): Servicios de bases de datos que almacenan información crítica.

⚠️ Riesgos comunes:
- Acceso remoto habilitado sin restricciones.
- Credenciales por defecto.
- Explotación mediante SQL Injection.
🔎 Ejemplo real: Un atacante accede a una base de datos expuesta y extrae información de clientes (PII, tarjetas, credenciales).

🔧 Ejemplo práctico (Cadena de ataque real):

💣 Un atacante realiza reconocimiento:

📡 Detecta HTTP activo → encuentra vulnerabilidad SQLi.
🔓 Accede a base de datos → obtiene credenciales.
🚪 Usa credenciales en SSH → acceso al sistema.
📂 Encuentra FTP → descarga información sensible.

🚨 Resultado: Compromiso total del servidor y exfiltración de datos.

⚔️ Enfoque ofensivo (Pentesting):

Un pentester debe:

Enumerar servicios abiertos (Nmap).
Identificar versiones y banners.
Buscar vulnerabilidades conocidas (CVEs).
Intentar explotación directa o encadenada.

🛡️ Enfoque defensivo:

Para proteger servicios:

Deshabilitar servicios innecesarios.
Aplicar hardening y actualizaciones.
Restringir acceso por IP (firewalls).
Monitorear logs y actividad sospechosa.

🔍 Objetivo técnico: Identificar qué servicios están expuestos, qué versiones ejecutan, detectar configuraciones débiles y evaluar si presentan vulnerabilidades explotables o CVEs conocidos.

4.1 🚪 Puertos Más Comunes y su Uso en Ciberseguridad

Los puertos representan puntos de entrada a servicios en un sistema. Identificar qué puertos están abiertos permite entender qué aplicaciones están expuestas y cuáles pueden ser vectores de ataque.

Puerto	Servicio	Uso	Riesgo Común
21	FTP	Transferencia de archivos	Credenciales en texto plano, acceso anónimo
22	SSH	Acceso remoto seguro	Fuerza bruta, credenciales débiles
23	Telnet	Acceso remoto sin cifrado	Sniffing, robo de credenciales
25	SMTP	Envío de correo	Open relay, spoofing
53	DNS	Resolución de nombres	DNS spoofing, zone transfer
80	HTTP	Aplicaciones web	SQLi, XSS, LFI/RFI
110	POP3	Recepción de correo	Credenciales en texto plano
139 / 445	SMB	Compartición de archivos Windows	EternalBlue, enumeración, lateral movement
143	IMAP	Gestión de correo	Fuerza bruta, sniffing
443	HTTPS	Web segura	Configuración TLS débil, vulnerabilidades web
3306	MySQL	Base de datos	Acceso remoto, credenciales débiles
3389	RDP	Acceso remoto Windows	Fuerza bruta, ransomware

🔧 Ejemplo práctico:

💣 Un atacante escanea un servidor y detecta:

Puerto 80 → encuentra vulnerabilidad web (SQLi)
Puerto 22 → intenta fuerza bruta SSH
Puerto 445 → enumera recursos SMB para movimiento lateral

🚨 Con esta información puede construir una cadena de ataque completa.

⚔️ Enfoque ofensivo: Identificar puertos abiertos permite descubrir servicios activos, versiones vulnerables y vectores de explotación.

🛡️ Enfoque defensivo: Solo deben exponerse los puertos estrictamente necesarios, aplicar filtrado (firewall) y monitorear constantemente el tráfico.

🔗 Consulta adicional y referencias

Consulta las siguientes fuentes especializadas para ampliar tu comprensión sobre modelos de red y fundamentos técnicos esenciales en pentesting: