https://drive.google.

com/drive/folders/1QbnuQlMTTU5shBVsiK8XLkFKQLBIn2X5

Modelos de seguridad

Seguridad por oscuridad:

Utiliza el secreto para garantizar la seguridad. Se plasma en ejemplos como:

1. Mantener el secreto del código fuente del software

2. Mantener el secreto de algoritmos y protocolos utilizados

Seguridad en capas

1) Seguridad perimetral
1) Doble factor autenticación}
a) Se, soy, tengo
1)Monitoreo en tiempo real
1) Información

Actores en escenarios de ciberseguridad

Cracker​= Delincuente informático, accede a sistemas con intenciones maliciosas. Black Hat

Hacker​= Persona experta en el manejo de computadoras, que se ocupa de la seguridad de los

sistemas

Escenarios de ciberseguridad

CISO: ​Oficial de seguridad de la información, es el responsable de planificar, desarrollar, controlar

y gestionar las políticas para m mejorar la seguridad de la información

Ethical Hacker: ​Consultor en seguridad de la información que intenta penetrar sistemas, redes o
aplicaciones con autorización. White hat

Privacidad en el siglo xxi

Ambito de la vida personal de un individuo que se desarrolla en un espacio reservado, el cual debe
mantenerse confidencial. En internet es el control de la información que posee un usuasio que se
conecta a la red

Riesgos

/ ​Rastreo

/ Observadores intermediarios

/ Espionaje

/ Retención de datos
/ Analisis de trafico

Riesgos y escenarios

a) Proveedores de Internet
b) Motores de búsqueda
c) Redes compartidas (redes corporativas, hotspot)
d) Redes sociales
e) Geolocalización

Hacktivismo

Protesta o desobedencia civil relacionada con uso de tecnologías informáticas, los ataques
cibernéticos dirigidos a popularizar ideas orientadas socialmente, no pertenecen a ninguna
agrupación formal

Tienen su propia interpretación de lo que constituye un comportamiento aceptable

Ingenieria social

La ​Ingeniería social​ es la práctica de obtener información confidencial a través de la

manipulación de usuarios legítimos.
El principio que sustenta la ingeniería social es el que en cualquier sistema "los usuarios son
el eslabón débil".

Frameworks de seguridad de la información

Plan-----Do-----Chechk-------Act

ISO 27001.

Mejoramiento constante, cumplimiento objetivos

Cobit ​Se usa principalmente en la industria para cumplir con los estándares Sarbanes-Oxley,
empresas que cotizan bolsas de valores

Nist ​gama de estándares de seguridad de la información y mejores practicas

Estandares específicos de industria

a) PCI DSS: para el manejo de tarjetas de crédito

b) HIPAA: marco de seguridad de la información de salud
c) GDPR: Regulación al tratamiento de datos personales y su libre circulación

Modelo OSI

Cmd tasklist/v.
Netstat. muestra conexiones de red abiertas y el proceso asociado a cada conexión

Protocolo ip: ​ip calculator ESTUDIAR

​

Cmd ipconfig

TCP: ​El receptor envía la señal de que el paquete llego, es secuencial, ejemplos correos,
información llega de forma segura sin afectar su integridad, controla los errores.

Saludo de 3 vías, un cliente le indica a un servidor que se va a conectar, se establece una sesión

UDP: Informacion de envio rápido, que no importa si no llega un dato.

DNS: ​ realiza la traslación entre direcciones IP y nombres de dominio. Es un sistema jerarquico

descentralizado

Llave: conjunto de datos específicos de un único usuario, autenticación

Vulnerabilidad:​ Debilidad en el software, hardware o procedimiento que puede permitir

un acceso o maniobra no autorizada. Se caracteriza por la ausencia o debilidad de un

control, permitiendo la explotación. Usar Windows Server 2003.

Amenaza:​ Cualquier daño potencial a la información o los sistemas. Ataques de

Ransomware.

Riesgo:​ Probabilidad de que un “elemento de amenaza” tome ventaja de una

vulnerabilidad y genere un impacto al negocio.

Control: ​Contramedida implementada para mitigar (o reducir) el riesgo potencial.

Actualizar a Windows Server 2016/Firewall Host/Apagar el equipo...

● Pruebas de penetración: ​Pruebas ofensivas contra los mecanismos de

defensa existentes en un entorno, usualmente ejecutadas de forma manual.

Son pruebas aprobadas y coordinadas con los dueños de los sistemas.

● Análisis de vulnerabilidades​: Pruebas automatizadas donde se analizan los

servicios y sistemas informáticos.

CVN (Common Vulnerabilities and Exposures)

Lista de informacion acerca de vulnerabilidades conocidas, cada una con un numero de

identificación y nomencaltura unica, para poder ser compartida con facilidad

CVSS (Common Vulnerability Score System)

Es un estandar para evaluar la severidad y vulnerabilidad de un sistema informatico, asigna

puntajes de severidad de 1 a 10, para priorizar amenazas

ETAPAS DE UNA PRUEBA DE PENETRACIÓN

1) Reconocimiento: ​identificación pasiva de sistemas, levantamiento de informacion

2) Escaneo
3) Explotacion
4) Post Explotacion
5) reporte

DEFINICION DE ALCANCE DE UNA PRUEBA DE PENETRACION

Definir objetivos:​ IPs, URLs, Apps, devices

● Definir topologia:​ network test internal / external /application /

wireless / Ing. Social

● ​Definir metodología:​ OSSTMM / NIST 800-15

●​ Definir nivel de acceso:​ Blackbox/Whitebox - Credenciales

● Definir reglas (ej: No DoS)

● Definir tiempos de ejecución y entrega

● Definir puntos de contacto 7/24

● Definir contenido del entregable

● Definir si se ejecutara un Re Test

Open-source intelligence (OSINT) consiste en la recopilación de

información de fuentes disponibles públicamente para ser utilizadas en

un contexto de inteligencia.
En la comunidad de inteligencia, el término "abierto/open" se refiere a

fuentes de datos abiertas y públicamente disponibles (a diferencia de

fuentes encubiertas o clandestinas).

No está relacionado con software de código abierto.

Herramientas Open-source intelligence (OSINT)

SHODAN: ​Un buscador que localiza ordenadores, webcams, impresoras

y distintos dispositivos electrónicos.

NAMECHK:​ Comprueba si un nombre de usuario está disponible en

más de 150 servicios online.

TINEYE:​ Es un buscador que parte de una fotografía y nos muestra en

qué sitios web se encuentra.

PIPL:​ Buscador de personas que las relaciona con distintas redes

sociales y vínculos en internet.

DOMAINTOOLS:​ Es un servicio que permite identificar, monitorear, buscar y

analizar un nombre de dominio.

TAGBOARD:​ Permite analizar distintos hashtag o etiquetas de Twitter.

TWOPCHARTS:​ Es una herramienta que analiza todo lo que se publica en

Twitter, permite conocer los likes, el cronograma e historial de publicaciones,

listas, contenido relevante, etc.

METAPICZ:​ Permite extraer los metadatos a fotografías y con esto conocer

distinta información como qué cámara, software, fechas, teléfono fueron

utilizados.

FOCA:​ Es un software que permite extraer y analizar los metadatos a

distintos tipos de documentos. Al conocer los metadatos se puede saber

quién lo creó, modificó, tipo de software que lo genera y la distinta

información relacionada con un archivo.

METADATOS: ​Información acerca de los datos, son los datos de los datos.

Múltiples formatos gráficos soportan la opción de agregar metadatos a las imágenes, incluyendo
las coordenadas de la toma de la fotografía, el tipo de dispositivo de captura, las configuraciones
de la cámara, etc.

Exchangeable image file format (Exif)​ es una especificación para formatos de archivos de imagen
usado por las cámaras digitales.

La especificación usa los formatos de archivos existentes como JPEG, TIFF Rev. 6.0, y RIFF el
formato de archivo de audio WAVE, a los que se agrega

etiquetas específicas de metadatos.

http://metapicz.com/#landing

WHOIS es un protocolo TCP basado en petición/respuesta que se utiliza para efectuar consultas en
una base de datos que permite determinar el propietario de un nombre de dominio o una
dirección IP en Internet.

A Dirección (address)​: Este registro se usa para traducir nombres de servidores de

alojamiento a direcciones IPv4.

AAAA Dirección (address):​ Este registro se usa en IPv6 para traducir nombres de

hosts a direcciones IPv6.

CNAME Nombre canónico (canonical Name):​ Se usa para crear nombres de

servidores de alojamiento adicionales, o alias como ftp.ejemplo.com. y

www.ejemplo.com.).

MX Intercambio de correo (mail exchange):​ Asocia un nombre de dominio a una

lista de servidores de intercambio de correo para ese dominio. Tiene un balanceo de

carga y prioridad para el uso de uno o más servicios de correo.

PTR Indicador (pointer): ​También conocido como 'registro inverso', funciona a la

inversa del registro A, traduciendo IPs en nombres de dominio. Se usa en el archivo

de configuración de la zona DNS inversa.

SOA Autoridad de la zona (source of authority)​: Proporciona información sobre el

servidor DNS primario de la zona..

NS Servidor de nombres (name server)​: Define la asociación que existe entre un

nombre de dominio y los servidores de nombres que almacenan la información de

dicho dominio.

TXT Registro de texto (text record):​ Permite asignar texto arbitrario a un hostname.

Existen métodos para deducir la geolocalización de un dispositivo conectado a

Internet.

La identificación de un dispositivo se puede usar para determinar el país, la ciudad o

el código postal, determinando la ubicación geográfica de un objeto. Las fuentes de

estas consultas son las Regional Internet Registry (RIR) que son las organizaciones

que administran la asignación del mundo (Ej: ARIN, LACNIC).

OPENVPN​ INSTALAR
NMAP es una utilidad gratuita y de código abierto, de Fyodor, diseñada para el descubrimiento de
sistemas, redes y la auditoría de seguridad.

Permite escanear redes, bloques de IPs, hacer barridos de PING, identificar equipos activos,
identificar puertos abiertos (TCP/UDP), banners, servicios, sistema operativos y tiene scripts para
tareas avanzadas.
VNC​ sistema de control remoto por interfaz grafica

Las herramientas de escaneo de puertos normalmente determinan si un equipo está activo antes
de iniciar un scan. Usualmente a través de un barrido de ping.

Ping es una herramienta basada en el protocolo ICMP Internet Control Message Protocol, que
envía una petición a un servidor, que por lo general* es contestada si el sistema está conectado.

NMAP envía in ICMP Echo-Request (Ping) y un paquete al puerto 80 para determinar si un sistema
está activo, antes de escanear. Un firewall puede bloquear tráfico ICMP

TCP y UDP tienen puertos (Un campo en el header TCP/UDP)

Hay 2^16=65536 puertos TCP/UDP

Existe una asignación de puertos por la IANA:

● Puerto TCP 80, web server (HTTP)

● Puerto TCP 23, Telnet

● Puerto UDP/TCP 53, DNS

https://blogs.sans.org/pen-testing/files/2013/10/NmapCheatSheetv1.1.pdf

Fernanda Ossa salio de la capacitación contactar por si las moscas

less,cat,vi [nombre] sirve para devolverme y ver los ficheros de scaneo guardados

EXPLOTACIÓN DE SERVICIOS

La explotación es fase en la que un atacante logra ejecutar una actividad no autorizada en el

entorno objetivo. Existen millones de configuraciones inseguras, cientos de miles de exploits, miles
de “payloads” e innumerables métodos para comprometer la seguridad de un sistema (CIA) a
través de una debilidad técnica o vulnerabilidad. Vectores como la inyección de caracteres, fallas
de autenticación, exposición de información, contraseñas triviales y servicios por defecto, son
comúnmente utilizados para explotar vulnerabilidades.

No existe un estándar para crear exploits. El framework de explotación más popular de la industria
es Metasploit, creado por H.D. Moore, originalmente lanzado en 2003.

Las contraseñas de acceso a los sistemas deben ser protegidas contra:

● Divulgación/Modificación/Remoción no autorizada

● Deben almacenarse en repositorios seguros y cifrados

Existen servicios que están expuestos a ataques en línea:

● Adivinación de contraseña (Password guessing)

● Ataques de diccionario (root, toor, password, 1234, soporte....)

● Ataques de fuerza bruta (AA, AB, AC, AD...)

● Ataques Hibridos (password123, abc123...)

https://haveibeenpwned.com/​ importante

para metaexploid meterpreter importante

url importante clase mañana bit.ly/2GCXwTs

curso.cybersec.oea@gmail.com

OWASP

es un proyecto de código abierto dedicado a determinar y combatir las causas que

hacen que el software sea inseguro

PROXY HTTP

El proxy HTTP intercepta las conexiones del cliente y genera una nueva conexión al
servidor.

● Puede ser utilizado para filtrado de contenido y monitoreo.

● Puede ser usado como herramienta ofensiva: BURP o ZAP

Client side attacks

● El atacante puede intentar comprometer a los clientes, en lugar de acceder al servidor

directamente.

● El cliente afectado ser usado como PIVOTE para acceder a la información del servidor.

● Ejemplo de estos ataques puede ser el Spear-phishing.

INCIDENTE INFORMÁTICO

Evento:​ Ocurrencia de un suceso que puede ser observado, verificado y documentado.

Incidente informático: ​Conjunto de eventos que afectan negativamente a la

organización/compañía y/o generan una violación de las políticas de seguridad, o las políticas de
uso aceptable y comprometen alguno de los objetivos de seguridad (integridad, disponibilidad y
confidencialidad).

“La cadena de custodia es un término legal que describe la colección, transporte y

almacenamiento de evidencia, con el buscando prevenir su alteración, pérdida, daño físico o
destrucción.

El objetivo de la cadena de custodia es registrar de forma adecuada el manejo y almacenamiento

que se da a una pieza de evidencia”.

¿Quién tuvo contacto con la evidencia?

● La fecha y hora en la que la evidencia fue manipulada.

● Las circunstancias en que la evidencia fue manipulada.

● ¿Qué cambios (si se realizó alguno) fueron hechos a la evidencia?

● En el caso de medios digitales, un hash de verificación de integridad del archivo(s) que

corresponde a la evidencia.

HASH :​A las funciones resumen también se les llama funciones hash o funciones digest.​​
Una función hash H es una función computable mediante un algoritmo tal que: Tiene
como entrada un conjunto de elementos, que suelen ser cadenas, y los convierte en un
rango de salida finito, normalmente cadenas de longitud fija.

anatomía de un incidente

● Infiltración: Acceso no autorizado

Ej: SQLi, RAT

● Propagación: Movimiento lateral/vertical en la red.

Ej: Relaciones de confianza, Red no segmentada

● Agregación: Búsqueda y recopilación de información sensible.

Ej: Tarjetas de crédito

● Exfiltración: Transporte de la información hacia la infraestructura del atacante.

Ej: Covert channel, RAT

Fases de la gestión de incidentes

1) Preparación:​ Preparando el entorno, politica, procedimiento, cadena de

notificación (A quien se llama primero al momento de un incidente), listado de
contactos
2) Identificación:​ Detectar desviaciones de lo normal (logs de un portscan)l, detectar
intentos de afectación, diagnóstico en sistemas/aplicaciones, logs, monitoreo y
fuentes de datos
3) Contención: ​Detener el daño(cerrar puertos afectados )/ adquirir imágenes
forenses, inicio de cadena de custodia(fiscalia) , reporte
vertical/horizontal(entidades regulatorias), colaboración con terceros (ISP)
4) Erradicación: ​Limpieza, remover artefactos del atacante, restauración de
backups, mejorar las defensas(agregar monitoreos o controles adicionales)
5) Recuperación: ​Retornando a producción, validación de
servicios/sistemas/negocio, monitoreo detallado

PLANEAR, HACER, VERIFICAR, ACTUAR

6) Lecciones aprendidas: ​Documentación de eventos, mejora operativa,
implementación de acciones correctivas, actualizar los análisis de riesgo

Adquisición de información forense

Existe gran diferencia entre la adquisición “live” (con datos volátiles) y “post-mortem” (con
el sistema apagado Se pierden conexiones, tabla ARP, lista de procesos corriendo,
payloads, contenido de memoria RAM).

El orden de volatilidad​ indica la secuencia en que la evidencia digital debe ser

capturada en función de su rata de cambio:

● Memoria del sistema - nanosegundos

● Estado de red, Procesos del sistema - milisegundos

● Registro de Windows

● Discos - segundos

● Disquetes, los medios de almacenamiento removible, copia de seguridad, etc. -

años

● CD-ROM, impresiones, etc. – años

Las contraseñas de windows se guardan en el registro de windows

una imagen forense toma todo el espacio del disco aun con los espacios vacíos

Múltiples discos duros que funcionan de forma lógica como un solo disco, de forma que se
incremente disponibilidad, resiliencia y se eliminen los puntos únicos de falla.

Las herramientas de adquisición permiten tomar la imagen de una partición, una unidad,
un arreglo RAID o una unidad montada en Windows (con una letra asignada).

Raid discos independientes espejos, si se le adiciona un dato a un disco, al otro también,

si se daña un disco el otro tiene toda la información almacenada

write blocker

Un controlador de disco forense o un dispositivo de bloque de escritura de hardware es un

tipo especializado de controlador de disco duro de computadora creado con el fin de
obtener acceso de solo lectura a los discos duros de la computadora sin el riesgo de
dañar el contenido de la unidad.

[c:\windows\System32\Config\AppEvent.evt]

ruta de eventos de windows

ANÁLISIS FORENSE DIGITAL

Principio de intercambio de Locard´s:​ “Siempre que dos objetos entran en

contacto transfieren parte del material que incorporan al otro objeto” Ej. Pintura

de autos que chocan

Principio de la navaja de Ockham: ​“En igualdad de condiciones, la explicación

más sencilla suele ser la correcta”. Ej KISS: Keep it simple, stupid Smart

El principio de Alexiou:​ ¿Qué pregunta quiero contestar? ¿Qué data necesito

para responder? Ej. No especular. Dejar que los datos cuenten la historia, que tipo de
error esta sucediendo, que ocurrio
Tabla de asignación de archivos, comúnmente conocido como FAT (del inglés ​file allocation
table​), es un ​sistema de archivos​ desarrollado para ​MS-DOS​, así como el sistema de archivos
principal de las ediciones no empresariales de ​Microsoft Windows​ hasta ​Windows Me​.
FAT es relativamente sencillo. A causa de ello, es un formato popular para ​disquetes​ admitido
prácticamente por todos los ​sistemas operativos​ existentes para ​computadora personal​. Se
utiliza como mecanismo de intercambio de datos entre sistemas operativos distintos que
coexisten en la misma ​computadora​, lo que se conoce como ​entorno multiarranque​. También
se utiliza en ​tarjetas de memoria​ y dispositivos similares.
Las implementaciones más extendidas de FAT tienen algunas desventajas. Cuando se borran
y se escriben nuevos archivos tiende a dejar ​fragmentos dispersos​ de éstos por todo el
soporte. Con el tiempo, esto hace que el proceso de lectura o escritura sea cada vez más
lento. La denominada ​desfragmentación​ es la solución a esto, pero es un proceso largo que
debe repetirse regularmente para mantener el sistema de archivos en perfectas condiciones.

https://www.wondershare.net/ad/es/data-recovery.html?gclid=EAIaIQobChMIzd25p8
ru4QIVxkOGCh2c6AVSEAAYASAAEgItgfD_BwE

El detalle de los logs depende de la funcionalidad del dispositivo y de su configuración.

Los dispositivos de red que pueden ser útiles son:

● Routers

● Switches

● Firewalls
● IDS/IPS

● Web application firewalls

● Servidores Proxy

● Anti-malware gateways

Es posible que analice logs de Firewalls, pues estos son dispositivos comunes en la
mayoría de las redes,

● Los logs recolectados de forma adecuada deben ser convertidos en un formato fácil de
leer:

● Delimitados por coma

● Delimitados por tabulaciones

● Syslog

● SNMP

Una vez convertidos, hay múltiples herramientas disponibles.

pagina para probar expresiones regulares

https://regexr.com/
página que sirve para analizar si un archivo tiene virus o no ​https://www.virustotal.com/​, es un
analisis estatico

Análisis de Binarios

REGISTRO DE WINDOWS

Windows mantiene una base de datos almacenados en archivos “Registry Hives”

● Los tipos de registros (hives) son:

● System

● Software

● Security

● SAM

● NTUSER para cada usuario

● Los “hives” están almacenados en C:\Windows\system32\config

● Cada “hive” se descompone en secciones llamadas llaves o “keys”

● Cada llave “key” contiene información específica almacenada en valores o “values”

● Las llaves registran su último cambio en el valor de la variable “LastWriteTime”

El “System hive” contiene la configuración particular de un sistema. Algunas de las llaves presentes
en este contenedor son:

● Hostname

● Time Zone

● Crash Dump Settings

● Mounted Devices

● Network Adapters

● Firewall Settings

● Remote Administration Settings

● Loaded Drivers

● Running Services

● USB Storage

El “System hive” contiene información sobre el software instalado en el sistema. Algunas de las
llaves presentes en este contenedor son:

● Operating System and Version

● Applications executed from the Run prompt

● Default Browser Settings

● Profile List

● User List

● Installed Components

● Application Full Paths