Documentos de Académico
Documentos de Profesional
Documentos de Cultura
• Explicar rápidamente sobre lo que se hablará en el meetup, explicar por qué 4SD quiere empezar
a generar estas interacciones que nos permitirán estar mas cerca de nuestra comunidad.
• Tendremos un pequeño ejemplo sobre como un sitio inseguro se rompe como una galleta
literalmente.
1. ¿Qué tan lejos puede llegar un atacante que se enfoca en vulnerar tu sitio o aplicación
web?
• No es exagerar cuando decimos que un atacante con fines no éticos puede llevar una compañía
a la ruina si así lo desea.
Datos curiosos:
- El 40% de los ataques web están dirigidos a la obtención de información, siendo las
aplicaciones web patrocinadas por el sector público y el financiero las que mayor número
de ataques han reportado en 2017. Los vectores de agresión más significativos durante el
2017 fueron, según la empresa Positive Technologies, el Cross Site Scripting (XSS) y la
inyección SQL.
- En un reporte del 2017, al menos 34.371 sitios que utilizaban CMS fueron reportados
como infectados y/o vulnerables a ataques web los cuales daban pie a que un atacante
llegara incluso hasta la base de datos.
- Nuestra aplicación web puede ser vulnerable por fallas en el código o por fallas en la
configuración del servidor, por ejemplo, hace poco la base de datos biométrica mas
grande de china fue vulnerada todo porque quedó expuesta gracias a malas
configuraciones.
- Esto no es cualquier cosa, es vital que tengas un equipo de desarrollo y operaciones que
entiendan y se comprometan con la seguridad de tu compañía y la de los clientes que te
confían su información.
- Nada nos ganamos si desarrollo está en una onda y operaciones en otra. Hoy en día
tristemente aún hay muchas situaciones así. Todos deben tener un mismo propósito y la
seguridad será una consecuencia de ello.
3. ¿Es posible que un atacante se haga con el acceso a tu base de datos por una
vulnerabilidad web?
- La respuesta es sí. El objetivo principal en la mayoría de los ataques será llegar a la base de
datos y alterar su contenido. Por ello cada vez se han desarrollado más y más alternativas
mas efectivas para lograrlo.
4. Laboratorio.
- Cuando hablamos de anonimato hacemos gran referencia a las VPN, los proxys, el
navegador TOR, etc. ¿Pero que se busca con el anonimato y que tan cierto es que somos
anónimos en una red donde pareciera que tenemos más identidad que en la vida misma?
6. Como estar un poco menos inseguros y que buenas prácticas podemos tener a nivel de
empresa.
- Hay algunas buenas prácticas que podemos llevar a cabo para estar un poco menos
inseguros a nivel de empresa como por ejemplo:
• Segmentar la red, un invitado, aunque sea posible cliente no tiene por qué acceder a la
misma red corporativa.
• Aplicar políticas de bloqueo de sesión, usuario, limitar el máximo de sesiones activas del
mismo usuario en lo posible a 1.
• Tener una política de contraseña bien definida y que exija el cambio periódicamente.
• Hay varias soluciones que permiten todo esto como bitdefender, mcafee.
• Controles de acceso.
7. Regalo.
Fuente: https://www.ccn-cert.cni.es/seguridad-al-dia/comunicados-ccn-cert/5473-demuestra-tu-
conocimiento-en-ciberseguridad-con-atenea-la-nueva-plataforma-de-desafios-del-ccn-cert.html
8. Cierre y despedida.
• La seguridad siempre dará de que hablar, siempre estará esa lucha por vulnerar sistemas que
cada vez son “mas seguros” por lo cual el enfoque de ataques mas famosos irá variando pero no
muy lejos de lo que hoy ya podemos tratar como la inteligencia artificial, IOT, ramsonware, incluso
los dispositivos móviles podrían estar cerca de un ramsonware dado el uso tan enorme que tienen
hoy en día y toda la información que almacenan sobre nosotros.
• Preguntas.
https://www.ccn-cert.cni.es/informes/informes-ccn-cert-publicos/2856-ccn-cert-ia-09-18-
ciberamenazas-y-tendencias-2018-resumen-ejecutivo-2018/file.html
https://www.google.com.co/search?
q=ranking+de+ataques+informaticos+2018&oq=ranking+de+ataques+informaticos+2018&aqs=chr
ome..69i57.9475j0j7&sourceid=chrome&ie=UTF-8
https://blog.smartfense.com/2018/05/ataques-aplicaciones-y-web-fuga-de-datos.html
https://www.itdigitalsecurity.es/vulnerabilidades/2018/04/el-94-de-las-aplicaciones-web-sufren-
vulnerabilidades-muy-graves
https://sucuri.net/es/reportes/sitios-hackeados-2017