PECERT │Equipo de Respuestas ante Incidentes de Seguridad Digital Nacional

www.gob.pe

pecert@pcm.gob.pe

La presente Alerta Integrada de Seguridad Digital corresponde a un análisis técnico periódico realizado por el

Comando Conjunto de las Fuerzas Armadas, el Ejército del Perú, la Marina de Guerra del Perú, la Fuerza Aérea

del Perú, la Dirección Nacional de Inteligencia, la Policía Nacional del Perú, la Asociación de Bancos del Perú y

la Secretaría de Gobierno Digital de la Presidencia del Consejo de Ministros, en el marco del Centro Nacional de

Seguridad Digital.

El objetivo de esta Alerta es informar a los responsables de la Seguridad de la Información de las entidades

públicas y las empresas privadas sobre las amenazas en el ciberespacio para advertir las situaciones que

pudieran afectar la continuidad de sus servicios en favor de la población.

Las marcas y logotipos de empresas privadas y/o entidades públicas se reflejan para ilustrar la información que

los ciudadanos reciben por redes sociales u otros medios y que atentan contra la confianza digital de las

personas y de las mismas empresas de acuerdo a lo establecido por el Decreto de Urgencia 007-2020.

La presente Alerta Integrada de Seguridad Digital es información netamente especializada para informar a las

áreas técnicas de entidades y empresas. Esta información no ha sido preparada ni dirigida a ciudadanos.

Lima, 2 de diciembre de 2020

PECERT │Equipo de Respuestas ante Incidentes de Seguridad Digital Nacional

www.gob.pe

pecert@pcm.gob.pe

Contenido Vulnerabilidades en firewall de Fortinet ....................................................................................................... 3

Empleados de GoDaddy son utilizados en ataques a múltiples servicios de criptomonedas ....................... 4

Ataques de suplantación de identidad en Zoom ........................................................................................... 5

El malware Xanthe ataca a servidores Docker .............................................................................................. 6

Ataque tipo phishing a correos electrónico de la Marina de Guerra del Perú. ............................................. 7

Nuevas herramientas de malware filtran información confidencial desde Dropbox ................................... 8

Detección de la Botnet DarkIRC .................................................................................................................... 9

Índice alfabético ..........................................................................................................................................11

PECERT │Equipo de Respuestas ante Incidentes de Seguridad Digital Nacional

www.gob.pe

pecert@pcm.gob.pe

ALERTA INTEGRADA DE SEGURIDAD DIGITAL N° 242

Fecha: 2-12-2020

Página: 3 de 11

Componente que reporta PECERT│EQUIPO DE RESPUESTAS ANTE INCIDENTES DE SEGURIDAD DIGITAL NACIONAL

Nombre de la alerta Vulnerabilidades en firewall de Fortinet

Tipo de ataque Explotación de vulnerabilidades conocidas Abreviatura ECV

Medios de propagación Internet y red

Código de familia H Código de subfamilia H01

Clasificación temática familia Intento de intrusión

Descripción

1. Resumen:

El Equipo de Respuesta ante Incidentes de Seguridad Digital Nacional, informa que especialistas en ciberseguridad han revelado el hallazgo de dos (2) vulnerabilidades en algunos productos de la empresa Fortinet. La explotación exitosa permitiría a los ciberdelincuentes evadir los mecanismos de seguridad en los sistemas afectados.

2. Detalles de la alerta:

A continuación se muestra una breve descripción de las vulnerabilidades y exposiciones comunes (CVE) identificadas, además de sus respectivas claves de identificación y puntajes de acuerdo con el sistema de puntuación de vulnerabilidad común (CVSS):

CVE-2020-15937: La desinfección insuficiente de los datos proporcionados por los usuarios de FortiGate en el panel de registros de IPS y WAF permitiría a los actores de amenazas inyectar y ejecutar código HTML y script arbitrario en el contexto de un sitio web vulnerable. La explotación exitosa de esta vulnerabilidad permitiría el robo información potencialmente confidencial, la modificación de la apariencia de un sitio web e incluso el despliegue de ataques de phishing.

La vulnerabilidad reside en las siguientes versiones de FortiGate: 6.2.0, 6.2.1, 6.2.2, 6.2.3, 6.2.4, 6.2.5, 6.4.0, 6.4.1.

Esta falla de seguridad recibió un puntaje de 6.3/10 de acuerdo al CVSS.

CVE-2020-9295: Esta vulnerabilidad afecta al motor Fortinet AV y existe debido a que es posible que el software afectado no pueda detectar inmediatamente algunos archivos RAR con formato incorrecto, lo que podría permitir la entrada de archivos maliciosos. los ciberdelincuentes podrían explotarla evadir las restricciones de seguridad implementadas y elevar los privilegios en los sistemas vulnerables.

La vulnerabilidad reside en los siguientes desarrollos:

o FortiOS: 6.2.0, 6.4.0

o AV engine: 6.00137, 6.00142, 6.00144, before 6.00145, 6.00243

o Fortinet FortiClient: 6.2.0, 6.4.0

Esta falla de seguridad recibió un puntaje de 6.4/10 de acuerdo al CVSS.

3. Recomendaciones:

Mantener actualizadas todas las plataformas de tecnologías y de detección de amenazas.

Actualizar los parches de seguridad en el sitio web oficial del fabricante.

Realizar concientización constante a los usuarios sobre este tipo de amenaza.

Fuentes de información Equipo de Respuestas ante Incidentes de Seguridad Digital Nacional

PECERT │Equipo de Respuestas ante Incidentes de Seguridad Digital Nacional

www.gob.pe

pecert@pcm.gob.pe

ALERTA INTEGRADA DE SEGURIDAD DIGITAL N° 242

Fecha: 02-12-2020

Página: 4 de 11

Componente que reporta COMANDO OPERACIONAL DE CIBERDEFENSA DEL COMANDO CONJUNTO DE LAS FUERZAS ARMADAS

Nombre de la alerta Empleados de GoDaddy son utilizados en ataques a múltiples servicios de criptomonedas

Tipo de ataque Phishing Abreviatura Phishing

Medios de propagación Redes sociales, SMS, correo electrónico, videos de internet, entre otros

Código de familia G Código de subfamilia G02

Clasificación temática familia Fraude

Descripción

1. El 02 de diciembre de 2020, a través del monitoreo y búsqueda de

amenazas en el ciberespacio, se tuvo conocimiento acerca de

Ciberdelincuentes redirigieron el correo electrónico y tráfico web de varias

plataformas de comercio de criptomonedas. Los ataques utilizaron

técnicas de phisihng telefónico dirigido a los empleados de GoDaddy , el

registrador de nombres de dominio más grande del mundo.

2. La incursión en GoDaddy consistió en engañar a los empleados para que transfirieran la propiedad y/o el control de

los dominios específicos a los ciberdelincuentes. No es el primer incidente que protagoniza el mayor registrador de

dominios del mundo este fatídico 2020. Esta última campaña parece haber comenzado alrededor del 13 de noviembre,

con un ataque a la plataforma de comercio de criptomonedas liquid.com, a la que le seguirían ataques a otras

conocidas compañías.

3. El CEO de Liquid, Mike Kayamori escribía en una publicación en su blog corporativo, «El proveedor de dominios

‘GoDaddy’ que administra uno de nuestros nombres de dominio principales transfirió incorrectamente el control de

la cuenta y el dominio a un ciberdelincuente. Esto le dio al ciberatacante la capacidad de cambiar los registros DNS y,

a su vez, tomar el control de varias cuentas de correo electrónico internas. En un momento pudo comprometer

parcialmente nuestra infraestructura y obtener acceso al almacenamiento de documentos«.

4. Como decimos, no es la primera vez que algo así sucede, ya en marzo, una campaña de phishing dirigida a los

empleados de soporte de GoDaddy permitió a los atacantes asumir el control de al menos media docena de nombres

de dominio, incluido el conocido sitio de comisiones de transacciones escrow.com.

5. En mayo de este año, GoDaddy reveló que 28,000 de las cuentas de alojamiento web de sus clientes se vieron

comprometidas tras un incidente de seguridad en octubre de 2019 que no se descubrió hasta abril de 2020.

6. Según las inventigaciones de Brian Krebs, escritor de KrebsOnSecurity existe un marcado aumento en las grandes

corporaciones que son blanco de sofisticadas estafas de phishing de voz o «vishing» . Los expertos dicen que el éxito

de estas estafas se ha visto favorecido en gran medida por muchos empleados que trabajan de forma remota gracias

a la pandemia de Coronavirus. Una estafa típica de ‘vishing’ comienza con una serie de llamadas telefónicas a los

empleados que trabajan de forma remota en una organización específica. Los ‘phishers’ a menudo explican que están

llamando desde el departamento de TI del empleador para ayudar a solucionar problemas con el correo electrónico

de la empresa o la tecnología de redes privadas virtuales (VPN).

7. Se recomienda:

Aprende a identificar claramente los correos electrónicos sospechosos de ser phishing.

Verificar la fuente de información de tus correos entrantes.

Nunca entres en la web de tu banco pulsando en links incluidos en correos electrónicos.

Fuentes de información hxxps://unaaldia.hispasec.com/2020/12/empleados-de-godaddy-son-utilizados-en-ataques-a-multiples-servicios-de-criptomonedas.html

PECERT │Equipo de Respuestas ante Incidentes de Seguridad Digital Nacional

www.gob.pe

pecert@pcm.gob.pe

ALERTA INTEGRADA DE SEGURIDAD DIGITAL N° 242

Fecha: 02-12-2020

Página: 5 de 11

Componente que reporta CIBERDEFENSA Y TELEMÁTICA DEL EJÉRCITO DEL PERÚ

Nombre de la alerta Ataques de suplantación de identidad en Zoom

Tipo de ataque Robo de información Abreviatura RobInfo Medios de propagación Red, internet, redes sociales.

Código de familia K Código de subfamilia K01

Clasificación temática familia Uso inapropiado de recursos

Descripción

1. El 02 de diciembre de 2020, a través del monitoreo y búsqueda de amenazas en el ciberespacio, se identificó por los investigadores de seguridad Better Business Bureau, quienes han reportado sobre los mensajes de phishing con el logotipo de Zoom que les dicen a los destinatarios que tienen una reunión perdida o una cuenta suspendida.

2. Un nuevo ataque de phishing con el tema de Zoom está circulando por correo electrónico, mensajes de texto y mensajes de redes sociales, con el objetivo de robar credenciales para el servicio de videoconferencia.

3. El ataque usa el logo de Zoom, y en un mensaje les dice a los destinatarios que sus cuentas de Zoom fueron suspendidas y que hagan clic en un enlace para reactivarlas; o que se perdieron una reunión de Zoom, y hacer clic en un enlace para ver los detalles y reprogramar.

4. Otra variante reciente del ataque ha sido un mensaje dando la bienvenida a algunos destinatarios a la plataforma y solicitando que hagan clic en un enlace para activar la cuenta.

5. Las credenciales de Zoom comprometidas podrían dar a los ciberdelincuentes acceso a conferencias telefónicas web, donde se comparten archivos confidenciales, datos de propiedad intelectual e información financiera. Los ciberdelincuentes también pueden usar estas credenciales para fines de ingeniería social, lo que en última instancia conduce a ataques como los esfuerzos de compromiso del correo electrónico empresarial.

6. Se recomienda lo siguiente:

Verificar dos veces la información del remitente.

Nunca hacer clic en enlaces de correos electrónicos no solicitados.

Mantener actualizado el antivirus.

Fuentes de información https[:]//threatpost.com/zoom-impersonation-attacks-credentials/161718/

PECERT │Equipo de Respuestas ante Incidentes de Seguridad Digital Nacional

www.gob.pe

pecert@pcm.gob.pe

ALERTA INTEGRADA DE

SEGURIDAD DIGITAL N° 242

Fecha: 02-12-2020

Página: 6 de 11

Componente que reporta CIBERDEFENSA Y TELEMÁTICA DEL EJÉRCITO DEL PERÚ

Nombre de la alerta El malware Xanthe ataca a servidores Docker

Tipo de ataque Malware Abreviatura Malware

Medios de propagación USB, disco, red, correo, navegación de internet.

Código de familia C Código de subfamilia C02

Clasificación temática familia Uso inapropiado de recursos

Descripción

1. El 02 de diciembre de 2020, a través del monitoreo y búsqueda de amenazas en el ciberespacio, se identificó por los

investigadores de Cisco de Talos, quienes han descubierto una botnet de criptominería denominada Xanthe, que ha

estado explotando instalaciones de la API de Docker configuradas incorrectamente para infectar sistemas Linux.

2. El malware Xanthe se encuentra apuntando a un honeypot, que crearon con el objetivo de descubrir las amenazas

de Docker. Este es un servidor simple que emula ciertos aspectos de la API HTTP de Docker.

3. Los servidores Docker mal configurados son otra forma en que se propaga Xanthe. Las instalaciones de Docker

pueden configurarse mal fácilmente y el demonio de Docker puede exponerse a redes externas con un nivel mínimo

de seguridad.

4. Xanthe utiliza un script de descarga inicial (pop.sh) para descargar y ejecutar su módulo de bot principal (xanthe.sh).

Este módulo luego descarga y ejecuta cuatro módulos adicionales con varias funcionalidades de persistencia y anti-

detección.

5. Estos cuatro módulos adicionales incluyen: Un módulo de ocultación de procesos (libprocesshider.so); un script de

shell para deshabilitar otros mineros y servicios de seguridad (xesa.txt); un script de shell para eliminar contenedores

Docker de troyanos competidores de criptominería dirigidos a Docker (fczyo); y el binario XMRig (así como un archivo

de configuración JSON, config.json).

6. Una vez descargado, el módulo principal también se encarga de propagarse a otros sistemas en redes locales y

remotas. Intenta propagarse a otros hosts conocidos robando certificados del lado del cliente y conectándose a ellos

sin el requisito de una contraseña.

7. Se recomienda lo siguiente:

Mantener el sistema operativo y el antivirus actualizado.

Implementar herramientas de seguridad.

Realizar un monitoreo constante de las redes.

Fuentes de información https[:]//threatpost.com/misconfigured-docker-servers-xanthe-malware/161732/

PECERT │Equipo de Respuestas ante Incidentes de Seguridad Digital Nacional

www.gob.pe

pecert@pcm.gob.pe

ALERTA INTEGRADA DE SEGURIDAD DIGITAL N° 242

Fecha: 02-12-2020

Página: 7 de 11

Componente que reporta COMANDANCIA DE CIBERDEFENSA DE LA MARINA DE GUERRA DEL PERÚ

Nombre de la alerta Ataque tipo phishing a correos electrónico de la Marina de Guerra del Perú.

Tipo de ataque Phishing Abreviatura Phishing Medios de propagación Redes sociales, SMS, correo electrónico, videos de internet, entre otros

Código de familia G Código de subfamilia G02

Clasificación temática familia Fraude

Descripción

1. El 1 de diciembre de 2020, a través del monitoreo y búsqueda de amenazas en el ciberespacio, se detectó un ataque tipo phishing en nombre de la “Dirección Regional de Comercio Exterior y Turismo de la Región Tacna” (DICERTUR) dirigido a usuarios de correo electrónico de la Marina de Guerra del Perú.

2. Los cibercriminales envían correos electrónicos del dominio “regiontacna.gob.pe” usando la cuenta comprometida dirceturtacna@regiontacna.gob.pe de la página web de DIRCETUR, donde menciona “hacer clic aquí para confirmar su correo electrónico”, el enlace redirige a la página web hxxps://actualizarcse.weebly.com en el que solicita llenar un formulario por la víctima con la finalidad de robar información personal y obtener credenciales.

3. Recomendaciones:

Evitar pulsar enlaces de correo electrónico.

Verificar el remitente del mensaje.

Evitar brindar información personal.

Cambiar con frecuencia las contraseñas de acceso a los servicios que usamos.

Utilizar diferentes contraseñas en los servicios que usamos.

Fuentes de información Comandancia de Ciberdefensa de la Marina, Osint

PECERT │Equipo de Respuestas ante Incidentes de Seguridad Digital Nacional

www.gob.pe

pecert@pcm.gob.pe

ALERTA INTEGRADA DE

SEGURIDAD DIGITAL N° 242

Fecha: 2-12-2020

Página: 8 de 11

Componente que reporta DIRECCIÓN NACIONAL DE INTELIGENCIA

Nombre de la alerta Nuevas herramientas de malware filtran información confidencial desde Dropbox

Tipo de ataque Malware Abreviatura Malware

Medios de propagación USB, disco, red, correo, navegación de internet

Código de familia C Código de subfamilia C03

Clasificación temática familia Código malicioso

Descripción

1. Resumen:

Los investigadores de ESET han descubierto un conjunto de herramientas de malware para implementar puertas traseras que son utilizadas por el grupo APT Turla de orígenes rusos. La finalidad de este ataque es filtrar documentos confidenciales en campañas de ciberespionaje dirigidas a objetivos específicos como el ministerio de relaciones exteriores de un país de la Unión europea desde el aplicativo de Dropbox.

2. Detalles:

Turla es un grupo de ciberespionaje activo desde hace más de diez años. Se ha puesto en peligro a muchos gobiernos, especialmente entidades diplomáticas, en todo el mundo, que operan un gran arsenal de malware que se han descrito en los últimos años. También, llamado “Crutch” la puerta trasera recientemente identificada también se encontró en la red de un Ministerio de Relaciones Exteriores, en un país de la Unión Europea. Según ESET, el malware podría usarse solo contra objetivos muy específicos, una característica común para muchas herramientas de Turla.

El malware Crutch de Turla fue diseñado para ayudar a recolectar y filtrar documentos confidenciales y varios otros archivos de interés a las cuentas de Dropbox controladas por el grupo de piratería ruso.

"La sofisticación de los ataques y los detalles técnicos del descubrimiento fortalecen aún más la percepción de que el grupo Turla tiene recursos considerables para operar un arsenal tan grande y diverso", indico el investigador de ESET Matthieu Faou en un informe publicado hoy.

“Además, Crutch podría eludir algunas capas de seguridad al abusar de la infraestructura legítima, en este caso, Dropbox, para integrarse en el tráfico normal de la red mientras filtra los documentos robados y recibe comandos de sus operadores".

Los investigadores de ESET pudieron vincular a Crutch con el grupo ruso de amenazas persistentes avanzadas (APT) de Turla basándose en similitudes con la puerta trasera Gazer de segunda etapa (también conocida como WhiteBear) que los actores de amenazas utilizaron entre 2016 y 2017. El uso de la misma clave RC4 para descifrar cargas útiles, nombres de archivo idénticos mientras se colocaban en la misma máquina comprometida en septiembre de 2017 y rutas PDB casi idénticas son solo algunos de los vínculos fuertes entre los dos observados por ESET.

"Dados estos elementos y que no se sabe que las familias de malware Turla se compartan entre diferentes grupos, creemos que Crutch es una familia de malware que forma parte del arsenal de Turla", agregó Faou.

Además, según las marcas de tiempo de más de 500 archivos ZIP que contienen documentos robados y cargados en las cuentas de Dropbox de Turla entre octubre de 2018 y julio de 2019, las horas de trabajo de los operadores de Crutch se alinean con la zona horaria rusa UTC + 3.

En total, a lo largo de sus campañas de espionaje, Turla ha comprometido miles de sistemas pertenecientes a gobiernos, embajadas, así como instalaciones de educación e investigación de más de 100 países.

3. Indicadores de Compromiso(IoC):

Ver indicadores aquí.

4. Recomendaciones:

No abrir correos de usuarios desconocidos o que no hayas solicitado: elimínalos directamente.

Revisar los enlaces antes hacer clic, aunque sean de contactos conocidos.

Desconfiar de los enlaces acortados.

Fuentes de información hxxps://www.welivesecurity.com/2020/12/02/turla-crutch-keeping-back-door-open/

PECERT │Equipo de Respuestas ante Incidentes de Seguridad Digital Nacional

www.gob.pe

pecert@pcm.gob.pe

ALERTA INTEGRADA DE

SEGURIDAD DIGITAL N° 242

Fecha: 2-12-2020

Página: 9 de 11

Componente que reporta DIRECCIÓN DE INTELIGENCIA DE LA POLICIA NACIONAL DEL PERÚ

Nombre de la alerta Detección de la Botnet DarkIRC

Tipo de ataque Botnets Abreviatura Virus

Medios de propagación Correo electrónico, redes sociales, entre otros

Código de familia C Código de subfamilia C02

Clasificación temática familia Código malicioso

Descripción

1. Resumen:

A través del monitoreo y búsqueda de amenazas en el ciberespacio, se detectó que, en el sitio web “juniper.net”, se informa sobre la detección de la Botnet DarkIRC, dirigido a servidores Oracle WebLogic vulnerables, que al ser ejecutado permite la ejecución remota de código no autenticado en los dispositivos infectados, DarkIRC, tiene como finalidad robar información confidencial de la víctima.

2. Detalles de la botnet DarkIRC:

Se propaga a través de servidores sin parches mediante un script de PowerShell ejecutado a través de una solicitud HTTP GET en forma de binario malicioso que viene con capacidades anti-análisis y anti-sandbox.

Antes de ejecutarse la Botnet, verificará si se está ejecutando en una máquina virtual VMware, VirtualBox, VBox, QEMU o Xen.

Luego se instala en %APPDATA%, Chrome, Chrome.exe y obtiene persistencia en el dispositivo comprometido mediante la creación de una entrada de ejecución automática.

Es usada por los actores de la amenaza como un clipper de Bitcoin, lo que permite cambiar las direcciones de la billetera de bitcoin copiadas en el portapapeles a una controlada por sus operadores en tiempo real.

Cuenta con múltiples capacidades como:

o Ejecución de comandos en el servidor infectado.

o Obtener el nombre de usuario del sistema infectado.

o Obtener la dirección IP del sistema infectado.

o Robo de credenciales.

o Registro de teclas.

o Descarga de archivos.

o Propagación a otros dispositivos a través de MSSQL y RDP (protocolo de escritorio remoto),

o Lanzamiento de varias versiones de ataques DDoS.

Imagen. Botnet DarkIRC.

PECERT │Equipo de Respuestas ante Incidentes de Seguridad Digital Nacional

www.gob.pe

pecert@pcm.gob.pe

3. Indicadores de compromiso (IoC).

Archivos analizados:

o Nombre: ewdk.dll o Tipo: Win32 DLL o Tamaño: 767.00 KB (785408 bytes) o MD5: 5f9fcbdf7ad86583eb2bbcaa5741d88a o SHA-1: 03cdec4a0a63a016d0767650cdaf1d4d24669795 o SHA-256: 004a2dc3ec7b98fa7fe6ae9c23a8b051ec30bcfcd2bc387c440c07ff5180fe9a

o Nombre: pedll o Tipo: Win32 DLL o Tamaño: 766.50 KB (784896 bytes) o MD5: b9dcee839437a917dde60eff9b6014b1 o SHA-1: 069ef8443df750e9f72ebe4ed93c3e472a2396e2 o SHA-256: 2d01c32d51e4bbb986255e402da4624a61b8ae960532fbb7bb0d3b0080cb9946

4. Recomendaciones

Crear conexiones seguras hacia la oficina.

Establezca contacto directo con la oficina de tecnología de la información (TI).

Mantener los programas y el sistema operativo actualizados.

Realizar respaldos de seguridad.

No descargar archivos de sitios de dudosa reputación.

Fuentes de información hxxps://blogs.juniper.net/en-us/threat-research/darkirc-bot-exploits-oracle-weblogic-vulnerability

PECERT │Equipo de Respuestas ante Incidentes de Seguridad Digital Nacional

www.gob.pe

pecert@pcm.gob.pe

Página: 11 de 11

Índice alfabético

bot ........................................................................................................................................................................... 6, 10 botnet ....................................................................................................................................................................... 6, 9 Botnets .......................................................................................................................................................................... 9 Código malicioso ....................................................................................................................................................... 8, 9 Correo electrónico ........................................................................................................................................................ 9 Correo electrónico, redes sociales, entre otros ........................................................................................................... 9 DDoS ............................................................................................................................................................................. 9 exploits........................................................................................................................................................................ 10 Explotación de vulnerabilidades conocidas .................................................................................................................. 3 Fraude ....................................................................................................................................................................... 4, 7 Intento de intrusión ...................................................................................................................................................... 3 malware .................................................................................................................................................................... 6, 8 Malware .................................................................................................................................................................... 6, 8 phishing ............................................................................................................................................................ 3, 4, 5, 7 Phishing..................................................................................................................................................................... 4, 7 Red, internet ................................................................................................................................................................. 5 Red, internet, redes sociales ........................................................................................................................................ 5 redes sociales ............................................................................................................................................................ 1, 5 Redes sociales ........................................................................................................................................................... 4, 7 Redes sociales, SMS, correo electrónico, videos de internet, entre otros ............................................................... 4, 7 Robo de información .................................................................................................................................................... 5 servidor ..................................................................................................................................................................... 6, 9 servidores ................................................................................................................................................................. 6, 9 software ........................................................................................................................................................................ 3 troyanos ........................................................................................................................................................................ 6 USB, disco, red, correo, navegación de internet ...................................................................................................... 6, 8 Uso inapropiado de recursos .................................................................................................................................... 5, 6 Vulnerabilidades ........................................................................................................................................................... 3