|
Introducción al Hackeo ético
Introducción al Hackeo ético 
Números de día
|
• El 92.8% de las personas navegan utilizando un dispositivo móvil
• Una persona gasta promedio 6 horas y 56 minutos al día en Internet
• En todo el mundo, hay 4.72 mil millones de usuarios en internet
• Hay más que 1.86 mil millones de páginas web online. |
 |
Hoy en día los datos son el recurso más valioso del mundo
|
|
• Los Hackers atacan cada 39 segundos
• Cada año, se pierden o se roban 70 millones de móviles
• En 2021, el cibercrimen ha costado $3.5 mil millones a las empresas
estadounidenses
• 26 objetos inteligentes está situados cerca de cada humano en la tierra
|
|
| |
|
El contexto de hoy
• Cada vez más empresas inclinan por confiar en el sector informático
• Aumenta la complejidad de los sistemas informáticos
• Sube el número de ataques cibernéticos
|
|
¡Las amenazas y las consecuencias están en el mismo contexto!
|
| |
|
• Pérdidas de datos
• Páginas web vulnerables
• Ataques de Malware (ransomware)
• Acceso sin autorizar
• Ataques de ingeniería social (phishing)
• Avanzadas amenazas persistentes
|
 |
• Pérdida monetaria
• Recursos desperdiciados/productividad reducida
• Imagen de empresa dañada y litigio
|
¿Qué significa la seguridad informática?
|
• Confidencialidad
Acceso a la información para conocer la base
• Integridad
Los datos no se alteran por accidente o de manera no autorizada
• Disponibilidad
Acceso ininterrumpido a la información
• Autenticidad
La calidad de los datos, la comunicación o el documento son genuinos
• No repudio
Garantiza que el emisor del mensaje luego no puede denegar haber recibido el mensaje y
el receptor no puede denegar haber recibido el mensaje
|
 |
|
|
Conceptos de hackeo
RIESGO= Vulnerabilidad* Probabilidad* Impacto
|
Términos
|
 |
•Valor de hackear
Algo que vale la pena hacer/hackear
•Vulnerabilidad
Una debilidad, un error de diseño o de implementación que puede llevar a un evento inesperado que compromete la seguridad del sistema
•Explotar
Una infracción del sistema de seguridad informático a través de las vulnerabilidades
•Carga útil
Parte del Código de explotación que realiza una acción maliciosa e intencionada
•Ataque de día cero
Un ataque que aprovecha las debilidades de la aplicación informática antes que el desarrollador de software realice un parche para la vulnerabilidad
•Bot
Una aplicación de software que puede ser controlada de remoto para ejecutar o automatizar tareas predefinidas
Tipos de Hacker
|
 |
|
• Gorros blancos – analistas de seguridad o hackers éticos
• Gorros grises – individuos que trabajan como blanco o negro, dependiendo de su interés
• Gorros negros – realizan actividades maliciosas o destructivas, conocidos también como “crackers”
• Hackers suicidas – individuos que no se preocupan de ir a la cárcel, sino que están interesados a cumplir su objetivo
• Script Kiddies – hackers no calificados que ejecutan scripts y herramientas desarrolladas por los demás, sin entender como trabajan
• Terroristas cibernéticos y crimen organizado – motivado por las ganancias financieras o por las creencias políticas, ellos pueden crear ataques en gran escala
• Hackers patrocinados por el estado – individuos contratados por el gobierno
• Hacktivistas – individuos que promocionan su programa político o sus creencias
|
Elementos de seguridad de la información
Ataques = Razón (Objetivo) + Método (Vector) + Vulnerabilidad
Los ataques están compuestos por la razón, el método y la vulnerabilidad. Aquí hay algunos ejemplos:
|
Razones (Objetivo)
• Interrumpir la continuidad
empresarial
• Robo de información y manipulación
de datos
• Perdida financiera del grupo objetivo
• Ganancia personal o financiera
• Venganza
• Propagar las creencias religiosas o
políticas
•Objetivos de estado o militares
|
|
 |
|
Método (Vector)
• Computación en la nube
• Virus y gusanos, Botnets
• Ransomware
• Amenazas móviles
• Phishing
• Amenazas de aplicación Web
• Amenazas del internet
|
Vulnerabilidades
Hay muchos tipos de vulnerabilidades que los hackers pueden explotar:
• Vulnerabilidades de red
Hay problemas con el hardware o software de una red que lo expone a la posible intrusión por una tercera parte
• Vulnerabilidades del Sistema operativo
Estas son vulnerabilidades dentro de un particular Sistema operativo que los hackers pueden explotar para ganar acceso a un activo, en el cual está instalado el Sistema operativo — o causa un daño
• Vulnerabilidades humanas
El enlace más débil en muchas arquitecturas cibernéticas es el elemento humano
• Proceso de vulnerabilidades
Algunas vulnerabilidades pueden ser creadas por controles de un proceso específico (o falta del mismo)
Recopilación de información
Perspectivas del objetivo
¿Cuáles son los objetivos a los que puede apuntar un ataque?
|
•Visión del Sistema
Tecnologías, dispositivos, sistemas operativos
•Visión Lógica/Funcional
Dispositivos/objetivos del sistema (presentación de la página web, PRI, etc.)
•Visión física
Cuartel general, ubicación del equipo
•Visión temporal
Días y horario laboral
|
|
 |
|
• Visión social
Datos sobre los empleados
• Visión del ciclo de la vida
Los pasos de un proceso empresarial
• Visión de consecuencia
Si un evento desencadena otro evento (qué pasa si entras en tu edificio sin autorización - ¿llaman a la policía?
|
Información sobre el destinatario
¿Dónde se puede encontrar la información sobre el objetivo?
| |
|
|
• Nombre de la empresa
• Página web de la empresa
• Ubicación geográfica
• El nombre de algunos empleados
• Direcciones IP
• Búsqueda en Internet utilizando motores de búsqueda
• Interrogación de la base de datos pública: Whois, DNS
• Redes sociales: Facebook/Meta, LinkedIn, Twitter, etc.
• Ingeniería social
|
 |
Otras fuentes
•Google, Yahoo, y Bing se dirigen a los usuarios de Estados Unidos y de la Unión europea, ubicación y datos, como Baidu se dirige al público chino
•Los operadores deberían aprender a aprovechar todos los motores de búsqueda y sus variedades regionales
•Datos específicos: la mayoría de las herramientas de búsqueda no estadounidense recopila y almacena los datos principalmente o exclusivamente de su región o de su país. Puedes encontrar los datos en Yandex, pero no puedes encontrarlos en google.com (o incluso en google.ru)
•Selección del idioma: los motores de búsqueda internacionales deben ofrecer la posibilidad de buscar en la(s) lengua(s) materna(s). Además, las consultas realizadas con grupos de caracteres no latinos pueden producir más resultados
Escaneo, Enumeración
Exploración de redes, enumeración de conceptos
Exploración de redes
- Sistema de identificación activo, puertos abiertos, servicios, reglas de cortafuegos, etc.
- Analizar el nivel de red (exploración de redes)/sistema (escaneo de puertos)
Enumeración
- Determinar las cuentas de los usuarios, carpetas compartidas, etc.
- Interrogación directa: conexiones activas
|
|
|
 |
|
Actividades que implican la interacción del objetivo
- Muchas solicitudes para obtener diferentes tipos de información
- Anfitriones en vivo, puertos abiertos, versión de servicio de funcionamiento
- Sistema operativo, redes compartidas, usuarios locales
- Depende de donde estás escaneando (fuera vs dentro de la red)
|
Herramientas de escaneo
• ARP Ping - Determina sólo los objetivos en la red local (LAN)
• Conexión TCP - Método sencillo y rápido que crea conexiones TCP completas
• Huella del Sistema operativo
Huellas pasivas: Analiza los paquetes que son capturados por una máquina - Baja precisión
Huellas activas: Envía paquetes al objetivo para ver cómo reacciona - Alta precisión
• Captación de banners - Muchos servicios se "presentan" cuando nos conectamos
Conceptos de Spidering
|
• El primer paso en el proceso de atacar una aplicación es recopilar y examinar alguna información clave sobre ella para comprender mejor a qué se enfrenta
• El mapeo comienza enumerando el contenido y la funcionalidad de la aplicación para entender qué hace la aplicación y cómo se comporta
• Gran parte de estas funciones son fáciles de identificar, pero algunas pueden estar ocultas, lo que requiere un grado de suposición y suerte para descubrirlas
|
|
• Tipos de spidering:
Automatizado: mediante herramientas (Burp, Paros Proxy, etc.)
Dirigido al usuario: tanto manual como automatizado
|
 |
Sistema de hackeo
Conceptos
La explotación es un fragmento de software o script programado que puede permitir a los hackers tomar el control de un sistema, explotando sus vulnerabilidades.
Explotación= Carga útil + Vulnerabilidad
• Carga útil: el código que se ejecutará tras la activación de la vulnerabilidad, escrito en lenguaje ensamblador (ASM)
• Depende de la plataforma: ataques especiales para Windows, otros para Linux, Android, Mac OS, etc
• Diferentes tipos de cargas útiles
• ejecuta un comando o programa en el sistema remoto
• descargar/cargar un archivo desde una URL y ejecutar
• añadir usuario a las cuentas del sistema
• shell - proporcionar un shell interactivo (Bind shell vs Reverse shell)
Descifrado de contraseñas
• Las contraseñas son las más utilizadas en el mecanismo de autenticación
• Las contraseñas son vulnerables a algunos tipos de ataques
• El robo de identidad representa actualmente el "delito informático" con mayor índice de crecimiento
• Cuando un usuario introduce una contraseña, se calcula su hash y se compara con el almacenado en la base de datos
• Si esos dos valores son iguales, el usuario se autentifica
• Salting - la inserción de un valor aleatorio en el proceso de cálculo de los hashes - aumenta el nivel de seguridad
• El valor salt se almacena junto con el valor hash en la base de datos
• Si dos usuarios tienen las mismas contraseñas, éstas se representarán como diferentes valores encriptados en la base de datos (debido a la diferente salt)
Tipos de ataques de contraseñas
¿Cuál es la diferencia entre los ataques a contraseñas online y offline?
La diferencia entre los ataques a las contraseñas offline y online podría ser lo que evite que su cuenta sea hackeada y que su organización sea atacada
• Online
Fuerza bruta
Fácil de detectar
•Offline
Implica obtener los valores hash almacenados localmente o transmitidos a través de la red
Requiere acceso al sistema
Sniffing de red - Utilizando herramientas que identifican los paquetes de red recibidos y transmitidos y que pueden ser copiados offline e inspeccionados para ser fácilmente identificados por los hackers
Amenazas de Malware
Conceptos de Malware
•El malware suele consistir en un código desarrollado por ciberatacantes, diseñado para causar grandes daños a los datos y sistemas o para obtener acceso no autorizado a una red
•El malware suele distribuirse en forma de enlace o archivo por correo electrónico y requiere que el usuario haga clic en el enlace o abra el archivo para ejecutar el malware
•En realidad, el malware ha sido una amenaza para las personas y las organizaciones desde principios de la década de 1970, cuando apareció por primera vez el virus Creeper. Desde entonces, el mundo ha sido atacado por cientos de miles de variantes diferentes de malware, todas ellas con la intención de causar la mayor cantidad de trastornos y daños posibles.
Conceptos sobre los programas maliciosos
Programas maliciosos
• Hay tres categorías: Troyanos y rootkits, Virus, Gusanos
• Un virus informático puede contaminar otros archivos
• Sin embargo, los virus pueden infectar máquinas externas sólo con la ayuda de los usuarios de ordenadores
Pruebas de malware
http://www.virustotal.com
|
|
|
• Un servicio que analiza archivos sospechosos y facilita la detección rápida de virus, gusanos, troyanos y todo tipo de malware identificado
• Servicio gratuito e independiente
• Utiliza múltiples motores antivirus (57 en este momento, pero el número aumenta continuamente)
|
Las acciones potencialmente maliciosas pueden incluir:
• Intentos de abrir, ver, borrar, modificar archivos
• Intentos de formatear drivers de discos, etc.
• Modificación de la configuración del sistema (puesta en marcha, etc.)
• Iniciación de comunicaciones en red, etc.
|
 |
Vigilancia y detección de gusanos de Internet
• La rapidez es un aspecto crucial:
El gusano SQL Slammer, apareció en enero de 2003 e infectó a más del 90% de los ordenadores vulnerables de Internet en 10 minutos; un ataque de gusano exitoso suele durar varios días infectando cientos de miles de ordenadores (Code Red, Nimda, Blaster, etc.);
• Objetivo: la detección precoz |
Contramedidas
|
• Instala un software antivirus que detecta y elimina las infecciones a medida que aparecen.
• Presta atención a las instrucciones al descargar archivos o cualquier programa de Internet.
• Actualiza el software antivirus con la mayor frecuencia posible.
|
|
• Programa escaneos regulares para todas las unidades.
• Se integra con el sistema operativo del ordenador anfitrión y supervisa el comportamiento del programa en tiempo real para detectar acciones maliciosas.
• Bloquea las acciones potencialmente maliciosas antes de que afecten al sistema
|
 |
Sniffing y sesión de Hijacking
Concepto de Sniffing
• Un sniffer de paquetes es un sistema con una tarjeta de interfaz de red que funciona en modo promotor/monitor y captura paquetes de red en tiempo real
|
•Se usa para:
Resolución de problemas (incluidos los de seguridad) y análisis de la red
Registro de la red para futuros análisis (forenses)
Herramienta de hacking para interceptar nombres de usuario y contraseñas
|
 |
Herramienta de Sniffing
|
Estas son las herramientas más conocidas que se pueden utilizar para el sniffing y los sistemas operativos donde se pueden utilizar:
|
|
tcpdump (http://www.tcpdump.org)
• Plataforma Unix
• Utilidad de línea de comandos
WinDump (http://www.winpcap.org/windump/)
• tcpdump versión Windows
Ethereal / Wireshark (http://www.wireshark.org/)
• Cuenta con una intefaz gráfica
|
 |
Sesión de hijacking
Concepto
• Ataque a una sesión informática válida para obtener acceso no autorizado a información o servicios en un sistema informático a través de los protocolos TCP/UDP
|
Métodos
• Fijación de la sesión
El atacante establece el identificador de sesión de un usuario a uno conocido por él, por ejemplo, enviando al usuario un correo electrónico con un enlace
que contiene un identificador de sesión particular. El atacante ahora sólo tiene que esperar a que el usuario se conecte
• Session sidejacking
El atacante utiliza el rastreo de paquetes para leer el tráfico de red entre dos partes y robar la cookie de sesión.
• Secuencia de comandos en el sitio web
El atacante engaña al ordenador del usuario para que ejecute un código que se considera fiable porque parece pertenecer al servidor, lo que permite al
atacante obtener una copia de la cookie o realizar otras operaciones
• Malware y programas no deseados
Pueden utilizar el secuestro de navegadores para robar los archivos de cookies de un navegador sin que el usuario lo sepa, y luego realizar acciones (como
instalar aplicaciones de Android) sin que el usuario lo note.
• Forzar la información de la sesión (Ej. Telnet, o valores de cookies a través de HTTP(S))
|
| |
 |
| |
|
|
+ 34 951 16 49 00
