Documentos de Académico
Documentos de Profesional
Documentos de Cultura
ético?
NIS.CL
Tipos de hackers
NIS.CL
CERTIFICACIONES
Certified Offensive
Ethical Security Certified
Hacker Professional
(CEH) (OSCP)
NIS.CL
Tipos de hackers
Suicide
hackers
Hacktivist
Black hat
Grey hat
White hat
Script-
Kiddies
NIS.CL
¿Cuáles son las motivaciones de los
hackers?
- Diversión
NIS.CL
¿Cuáles son las motivaciones de los
hackers?
- Diversión
- Curiosidad
NIS.CL
¿Cuáles son las motivaciones de los
hackers?
- Diversión
- Curiosidad
- Para probar sus habilidades
NIS.CL
¿Cuáles son las motivaciones de los
hackers?
- Diversión
- Curiosidad
- Para probar sus habilidades
- Por pago
NIS.CL
¿Cuáles son las motivaciones de los
hackers?
- Diversión
- Curiosidad
- Para probar sus habilidades
- Por pago
- Venganza
NIS.CL
¿Cuáles son las motivaciones de los
hackers?
- Diversión
- Curiosidad
- Para probar sus habilidades
- Por pago
- Venganza
- Destrucción
NIS.CL
¿Cuáles son las motivaciones de los
hackers?
- Diversión
- Curiosidad
- Para probar sus habilidades
- Por pago
- Venganza
- Destrucción
- Encargo de gobiernos
NIS.CL
¿Qué es el hacking ético?
Es un proceso a través del cual las organizaciones realizan pruebas de
ataque autorizadas a sus sistemas informáticos con el fin de identificar
posibles brechas de seguridad y poder parcharlas antes de que suceda
un ataque real.
NIS.CL
¿Qué es el hacking ético?
La evaluación a la seguridad del sistema intenta responder
las siguientes preguntas:
- ¿Qué tan profundo puede llegar un intruso en los
sistemas?
- ¿En caso de algún ataque hay alguien que lo note dentro
de la organización?
- ¿Cuáles son los recursos que deben protegerse?
- ¿Cuales son los flancos expuestos en la organización
que tengan problemas de seguridad?
NIS.CL
¿Qué es el hacking ético?
MUY IMPORTANTE:
La diferencia entre un criminal y un hacking ético es
únicamente el nivel de autorización que se cuenta para
realizar las pruebas.
NIS.CL
Proceso del hacking
NIS.CL
1. Identificación del objetivo
NIS.CL
2. Footprinting (Sharpening the Axe)
• Información Pública
• Documentos
• Direcciones IP
• Infraestructura
• Contraseñas expuestas
• Correos electrónicos
• Organigramas
• Google Hacking
• Ingeniería Social
NIS.CL
3. Análisis de vulnerabilidades
• Escaneo de puertos y aplicaciones
• Exploits (públicos y 0-day)
• Herramientas automáticas (Acunetix, OpenVAS,
Nessus, etc.)
• Código fuente
• Scripts y aplicaciones
• SQL Injection
• DoS – DDoS
NIS.CL
3. Análisis de vulnerabilidades
EVASIÓN DE SENSORES PERIMETRALES DE
DETECCIÓN:
- Firewalls
- IDS
- IPS
NIS.CL
4. Hackeo del sistema
• Explotación de las vulnerabilidades
• Ingreso a los sistemas descubiertos
• Ataque de fuerza bruta/Diccionario
• Descifrando tráfico SSL
• Man-in-the-middle (MITM)
NIS.CL
5. Escalamiento de privilegios
• Objetivo: root en Linux/Unix
• Objetivo: Administrador en Windows
• Objetivo: Admin en sistema privado o BD
NIS.CL
6. Acción del hackeo
CONFIDENCIALIDAD INTEGRIDAD
• Suplantación de identidad • Modificación de una BD
• Descifrado de datos • Cambio de contraseñas
• Man-in-the-middle • Destrucción de los datos
• Robo de contraseñas • Implantación de Malware
• Espionaje
• Lectura de base de datos
DISPONIBILIDAD
• Denegación de Servicio (Denial of Service – DoS)
• DDoS
Apagado/Reinicio de sistemas
• Reconfiguración de la red
NIS.CL
7. Eliminación de registros
NIS.CL
RESULTADO DEL PENTESTING
• INFORME DE VULNERABILIDADES
• INFORME DE MITIGACIÓN
• FRECUENCIA DE RE-TESTING
NIS.CL
¿DÓNDE ESTÁN EMPLEADOS LOS HACKERS ÉTICOS
• Empresas de ciberseguridad
• SOCs (Security Operation Centers)
• Bancos
• Gobiernos
• Consultores
• Corporaciones
NIS.CL
ALGUNOS EJEMPLOS…