Enemigo en casa

1er Encuentro Internacional de Tecnologías de Información

2do Congreso de Informática UTMACH
CIU 2010
 Ethical Hacking
◦ Introducción.
◦ Elementos de la Seguridad.
◦ Clasificación de los intrusos
◦ ¿Que es un ethical hacker?
◦ Etapas de un ataque
 Ataques y riesgos
◦ Cuáles son los riesgos y ataques
 Enemigo en casa
◦ Ingeniería Social.
 Práctica.
Los procesos en las organizaciones se han
convertido en dependientes de la tecnología y el
internet.

La información es el elemento más importante

de una organización.

Los avances tecnológicos cada día aumentan,

como también las amenazas a la seguridad.

100% de seguridad no existe

 Garantizar que la información debe ser
manipulada por las personas autorizadas
Preservar estas
INTEGRIDAD características

DISPONIBILIDAD CONFIDENCIALIDAD

Información, hardware, No estar disponible para

software disponible todo terceros
el tiempo
Crackers: Destruir parcial o Hackers: Probar que tienen
totalmente el sistema las competencias para
obteniendo un beneficio invadir un sistema
personal como protegido. Sin ninguna
consecuencia de sus mala intención.
actividades.
Sniffers: Dedicados a
Lammers: Son aprendices rastrear y descifrar los
que prueban varias mensajes que circulan en el
herramientas sin saber el internet.
funcionamiento.

Spammers: Responsables
de los envíos masivos de
correos no solicitados
 Hacker = Gurú

Es una persona confiable con

conocimientos de seguridad que simula
un ataque a la red.

El objetivo es de conocer las

vulnerabilidades y corregirlas para
protegerse de futuros ataques o que antes
de que otro lo haga.
Conocer al enemigo es una ventaja,
comprender sus motivaciones, cuáles son los
medios y las oportunidades.
 Descubrirlas vulnerabilidades y demostrar el
estado de seguridad de una organización.

 El resultado de E-hacker es brindar

soluciones.
Redes remotas – Realización de un ataque de
forma externa Internet .

Redes locales – Simulación de un ataque

desde la red Interna(empleados)

Ingeniería social – inducir a las personas

Seguridad física – Accesos físicos (equipos,

respaldos)
 Usuarios del sistema.
 Ex empleados
 Empleados Insatisfechos
 Errores
 Descuido de los empleados
 Curiosos.
 Intrusos remunerados
Descubrimiento • Recopilar toda información crítica

Exploración • Identificar las posibles víctimas

• Búsqueda de vulnerabilidades de los

Evaluación
datos encontrados

• Realizar ataques a travez de las

Intrusión
vulnerabilidades.
Recopilar información Herramientas

Direcciones IP.  Ping

Números telefónicos.  Traceroute

Cuentas de correos  Directorio Telefónico

 Whois
Rangos de direcciones
 Wireshark
IP
Usuarios críticos.
Computadores
accesibles.
Descubrir todas las
Herramientas
entradas

 Escaneo de puertos  Nmap

 Autoscan
 Host activos
 Netscan
 Sistemas operativos.
 Xprobe2
 Versiones de los  Fping.
servicios
 Identificación de
servicios activos.
 Recursos compartidos
abiertos
Detección de
Herramientas
Vulnerabilidades

 Puertos habilitados.  Nessus.

 Gfi languard
 Usuarios anónimos.
 Nmap.
 Aplicaciones
 Satan
 Servidores
 Xscan.
 Ataques Herramientas

 Ataques de Ingeniería  Exploits.

Social.  Smb4k.
 Keylogger
 Ingreso al sistema
 Ettercap
 Obtención de usuarios
 Passwords Attack
y contraseñas.
 Social Engineering
 Ataque a las
Toolkit
Aplicaciones
 Xhydra
 Aircrack-ng
 BACTRACK
 Ethical Hacking
◦ Introducción.
◦ Elementos de la Seguridad.
◦ Clasificación de los Atacantes
◦ ¿Que es un hacker?
◦ Etapas de un ataque
 Enemigo en casa
◦ Ingeniería Social.
 Ataques y riesgos
◦ Cuáles son los riesgos y ataques
◦ Problemas
 Práctica.
 Sabemos a que riesgos estamos expuestos?

 Cada clic que hacemos es seguro?.

 Tenemos conocimiento de los delitos

informáticos.

A mi no me va a ocurrir.

 Es prioridad para Ud. la seguridad?

 La seguridad depende principalmente del Factor
Humano y en menor grado del factor Tecnológico.

Se estima que el 82% de la pérdida de los datos

sensibles de una compañía la producen los mismos
empleados.

El usuario es el eslabón más débil en la cadena de

protección IT:

¿cómo educarlo sobre su responsabilidad

en la seguridad?
Por JUAN M. TIRADO
Es una técnica que a través de la manipulación
o inducción de las personas, con el objetivo de
obtener información importante.

Es decir tratar de engañar

 Este ataque se puede dar de varias formas:
◦ Sitios Web.
◦ Llamadas telefónicas.
◦ Hablar personalmente.
◦ Correos Electrónicos.

 Medidas a tomar:

◦ No revele información.
◦ Informarse.
◦ Verificar la identidad.
◦ No revelar contraseñas.
◦ No responda mensajes extraños o cadenas.
 Ethical Hacking
◦ Introducción.
◦ Elementos de la Seguridad.
◦ ¿Que es un hacker?
◦ Etapas de un ataque
 Enemigo en casa
◦ Ingeniería Social.
 Ataques y riesgos
◦ Ataques
◦ Riesgos
◦ Problemas
◦ Ejemplo.
◦ Soluciones
 Práctica
 Antivirus Falsos
 Malware
 Ataques sobre redes P2P.
 Ingeniería Social
 Phishing
 Sniffers
 Cross Site Scripting
 Chantaje
 Spam
 Robo de información.
 Fraude Financiero
 Suplantación de identidad.
 Modificación de información.
 Interceptación de las comunicaciones
 Denegación de los servicios.
 Presupuesto.
 Poca conciencia de usuarios finales.
 Falta de apoyo de la alta gerencia.
 No hay entrenamiento o capacitación.
 No existen Herramientas.
 Falta de conocimiento
 Actualizaciones
 Encriptar las comunicaciones.
 Sistema de Detección de Intrusos.
 Firewall.
 Definir políticas y procedimientos de Seguridad
 Establecer roles y responsabilidades.
 Defensa en Profundidad
 Respaldos.
 Ethical Hacking
 Firewall
 Antivirus
 Equipo de Seguridad.
 NMAP
 AUTOSCAN
 ETTERCAP
 www.utpl.edu.ec/seguridad.
 www.dragonjar.com
 www.infosecurityvip.com
 www.metasploit.com
 www.dragonjar.org/
 www.cavaju.com/
 “La seguridad absoluta, tendría un costo infinito”

Anónimo

Gracias!!!
angyespinosa86@gmail.com
adespinoza@utpl.edu.ec