ETAPAS Y TÉCNICAS DEL HACKING ÉTICO. PARTE II.

VÍCTOR VILLAR JARA

HACKING ÉTICO
INSTITUTO IACC
LUNES 08 DE FEBRERO DE 2021.
INTRODUCCIÓN.

La verificación de la red de un cliente y su web, es el punto en la auditoría donde se

abarcan las distintas etapas que se deben llevar a cabo sobre los sistemas informáticos
de una organización, objeto identificar las lasitudes que pueden desencadenar un
riesgo a la integridad, la confidencialidad y su disponibilidad en los activos de la
información, Con el propósito de obligarse a un mayor y mejor resolución, alinearemos
algunos ataques de ingeniería social, como aquellas herramientas para ejecutar
escaneo de vulnerabilidades de un forma automatizada. El alcance esperado de la
Tarea Semana 3 “ETAPAS Y TÉCNICAS DEL HACKING ÉTICO. PARTE II.”, es lograr
diferenciar las técnicas de análisis pasivo y activo, identificando elementos en casos
reales.
 DESARROLLO:

Lea atentamente el siguiente caso, analice la información de acuerdo a los contenidos

revisados en la semana y conteste las preguntas que se presentan a continuación:

Investigando en internet, usted se ha encontrado con las siguientes noticias:

Investigan estafa informática de una transferencia entre el club PSG y Boca Juniors,
disponible en:
https://www.welivesecurity.com/la-es/2019/05/31/investigan-estafa-informatica-
alrededor-de-una-transferencia-entre-el-club-psg-y-boca-juniors/

Así se gestó el fraude por el que a Boca le robaron 600.000 euros, disponible en:
https://www.mdzol.com/deportes/2019/12/20/asi-se-gesto-el-fraude-por-el-que-boca-le-
robaron-600000-euros-56758.html
Ambas se relacionan con lo que sucedió en el caso de estafa al equipo de fútbol Boca
Juniors. Considerando lo anterior, y para que no ocurriera lo mismo en la empresa
donde trabaja (Altoromutual), sus jefes le solicitaron que, considerando este caso, le
enseñara a toda la compañía las lecciones que se pueden obtener de él, para lo cual
deberá usted debe tener en cuenta:

1. Las técnicas de ingeniería social utilizadas para poder llevar a cabo la estafa,
describa a lo menos 3 de ellas.

A) FARMING:
Dentro de las técnicas utilizadas por los ciber-criminales para llevar a cavo esta
estafa, se puede reconocer que nos encontramos dentro del área del Farming,
Pero porque este y no el Hunting por ejemplo. El Farming lo distinguirse la
particularidad de que esta intenta mantener el ataque por el mayor tiempo posible
[1](Pág.7), con la intención de poder utilizar la posición de la víctima con los
conocimientos de ella o los recursos a los cuales tiene acceso (fraude del CEO y
RRHH).[10].
B) PHISHING.
Esta apodo lo alberga el fraude que se comete por medios telemáticos, donde el
estafador intenta acceder a información confidencial (datos bancarios, contraseñas,
etc.), de los usuarios legítimos de una forma fraudulenta. Los recursos afectados
aquí son cualquier trabajador, autónomo o empresa que tenga cuenta o trabaje con
la compañía atacada. El estafador o phisher suplanta la figura de un individuo o
empresa de confianza para que el receptor de una comunicación electrónica oficial
(vía e-mail, fax, SMS o telefónicamente) crea en su fiabilidad y propicie, de esta
manera, los datos privados de interés para el estafador [4].. Existen distintas
modalidades de Phishing. Cuando éste se ejecuta vía SMS el nombre técnico es
Smishing y cuando se llevar a cabo utilizando Voz sobre IP, se nombra Vishing.
Otra diversidad es el Spear Phishing, en donde los atacantes intentan mediante un
correo electrónico, que finge ser de un amigo o de empresa conocida, obtener que
se les facilite: información financiera, números de tarjeta de crédito, cuentas
bancarias o contraseñas.

C) PRETEXTING.
También en este caso expuesto nos encontramos con esta técnica, ya que
pretexting se especifica como la creación de una historia que tiene parte real y lado
falso, con el propósito de obtener de una víctima información esencial de la
empresa para escalar dentro de la empresa.
2. De las herramientas usadas actualmente en su empresa, realice una tabla
comparativa con la información que puede lograr con ellas:

(a) OWASP ZAP

(b) NMAP
(c) NIKTO

Herramientas Características Utilización

OWASP ZAP (a) Herramienta totalmente gratuita (a) Posibilidad de comprobar todas las
y de código abierto. peticiones y respuestas entre cliente
(b) Herramienta multi-plataforma, y servidor.
compatible incluso con (b) Posibilidad de localizar recursos en
Raspberry Pi. un servidor.
(c) Fácil de instalar, dependiendo (c) Análisis automáticos.
únicamente de Java 1.7 o (d) Análisis pasivos.
superior. (e) Posibilidad de lanzar varios ataques
(d) Posibilidad de asignar un a la vez.
sistema de prioridades. (f) Capacidad para utilizar certificados
(e) Traducida a más de 12 idiomas, SSL dinámicos.
entre ellos, el español. (g) Soporte para utilizar tarjetas
(f) Excelente manual de ayuda y inteligentes (DNI-e, por ejemplo) y
gran comunidad en la red. certificados personales.
[11] (h) Análisis de sistemas de
autenticación.
(i) Posibilidad de actualizar la
herramienta automáticamente.
(j) Dispone de una tienda de
extensiones (plugins) con las que
añadir más funcionalidades a la
herramienta.
[11]
NMAP (a) Nmap es una herramienta (a) Nmap se puede ejecutar desde un
popular incluida en Red Hat intérprete de comandos escribiendo
Enterprise Linux. el comando nmap seguido del
(b) Puede ser usada para nombre o la dirección IP de la
determinar la distribución de la máquina que desea explorar:
red. (ejemplo)
(c) Incluye una página man nmap www.iacc.cl
excelente con una descripción
detallada de sus opciones y (b) Nmap prueba los puertos de
uso. comunicación de red más comunes
(d) Los administradores pueden por servicios en espera o
usar Nmap en una red para escuchando. Este conocimiento
encontrar sistemas host y puede ser útil para un administrador
puertos abiertos en esos que desea cerrar servicios que no
sistemas. sean necesarios o que no se estén
(e) Puede mapear todos los hosts utilizando.
dentro de la red y hasta puede
 pasar una opción que le MIT. (n.d.)[12]
permite tratar de identificar el
sistema operativo que se está
ejecutando en un host en
particular.
(f) Nmap es un buen fundamento
para establecer una política de
uso de servicios seguros y
detener servicios que no se
estén usando.

MIT. (n.d.)[12]

NIKTO (a) Soporte SSL (Unix con (a) Nikto es un escáner de servidor
OpenSSL o quizás Windows web de código abierto ( GPL ) que
con realiza pruebas exhaustivas contra
(b) Perl / NetSSL de ActiveState) servidores web para varios
(c) Soporte completo de proxy elementos, incluidos más de 6700
HTTP archivos / programas
(d) Comprobaciones de potencialmente peligrosos.
componentes de servidor (b) Verifica versiones desactualizadas
obsoletos de más de 1250 servidores y
(e) Guarde informes en texto sin problemas específicos de la versión
formato, XML, HTML, NBE o en más de 270 servidores.
CSV (c) Comprueba los elementos de
(f) Motor de plantillas para configuración del servidor, como la
personalizar fácilmente los presencia de varios archivos de
informes índice, las opciones del servidor
(g) Escanea varios puertos en un HTTP e intentará identificar los
servidor o varios servidores a servidores web y el software
través de un archivo de instalados
entrada (incluida la salida
nmap) CIRT.net. (n.d.)[3]
(h) Técnicas de codificación IDS
de LibWhisker
(i) Se actualiza fácilmente a
través de la línea de comandos
(j) Identifica el software instalado
mediante encabezados,
favicons y archivos
(k) Autenticación de host con
Basic y NTLM
(l) Adivinar subdominio
(m) Enumeración de nombre de
usuario de Apache y cgiwrap
(n) Ajuste de escaneo para incluir
o excluir clases completas de
(o) verificaciones de vulnerabilidad
(p) Adivina las credenciales para
los dominios de autorización
(incluidas muchas
combinaciones de ID / pw
predeterminadas)
(q) La adivinación de autorización
maneja cualquier directorio, no
 solo el directorio raíz
(r) Reducción de falsos positivos
mejorada a través de varios
métodos: encabezados,
contenido de la página y hash
de contenido Informa que se
han visto encabezados
"inusuales"
(s) Estado interactivo, pausa y
cambios en la configuración de
verbosidad
(t) Guardar solicitud / respuesta
completa para pruebas
positivas
(u) Reproducir solicitudes
positivas guardadas
(v) Tiempo máximo de ejecución
por objetivo
(w) Pausa automática en un
momento específico
(x) Verificaciones de sitios de
"estacionamiento" comunes
(y) Iniciar sesión en Metasploit
(z) Documentación exhaustiva

CIRT.net. (n.d.)[3]
3. Describa paso a paso cada uno de los pasos realizados por los atacantes para
lograr realizar la estafa, proporcionando más antecedentes bibliográficos que los
señalados anteriormente.

El procedimiento utilizada en el mencionado fraude se basa en el Spoofing, que se

define como una técnica de suplantación de identidad en la Red, ejecutada por un
ciber-delincuente donde frecuentemente se lleva a cabo un proceso de análisis o la
utilización de un malware. Específicamente podemos identificar este ataque como un
Mail spoofing, que define a una suplantación de correo electrónico de personas o de
empresas con el objetivo de llevar a cabo envío masivo de spam.
Según Voigt, I. (2020, November 26)[13], el Mail Spoofing se extiende el envío del
protocolo SMTP (Simple Mail Transfer Protocol), este en si no cuenta con ningún
mecanismo de autentificación de sus direcciones. Esto puede facultar a un emisor con
malas intenciones editar los datos de cabecera de un correo para que el destinatario
piense que ha sido enviado desde una dirección diferente a la que realmente lo ha
hecho. De esta forma se consigue una apariencia de veracidad y legitimidad que facilita
el phishing. como lo fue el fraude que le hicieron al encargado de gestión del equipo
Boca Juniors, en donde posteriormente se da a entender que fue detectada la
intervención donde entraron en funcionamiento filtros para esconder al real destinatario
y se reenviaban simplemente a otra cuenta externa.
El dominio de la cuenta solo presentaba la diferencia de una letra por lo que no fue
advertida por el Club Francés pensando en todo momento que realmente se estaba
negociando con el club de Boca Juniors.
CONCLUSIÓN.

En el hacking ético, es enjundioso discernir que se deben abordar todos los métodos
utilizados por los atacantes para socavar la seguridad de una empresa donde no se
deben ignorar ninguna alternativa, como son los ataques de ingeniería social. Es de
ayuda fundamental actualizar nuestros sistemas, pero lejos lo más importante es contar
con personal bien capacitado, porque dicha protección hará la diferencia entre una
empresa u otra. Por otro lado, las herramientas de escaneo automático proporcionarán
mucha información de fondo para achicar el tiempo de análisis, pero se deben
considerar los falsos positivos y falsos negativos que pueden ocurrir durante el análisis
automático, por lo que esta información también debe ser considerada. Finalizada la
Tarea Semana 3 podemos distinguir las técnicas más comunes de Ingeniería Social,
discriminar herramientas de análisis identificando su función específica y destacar cada
fase y técnica empleada dentro de un caso real.
BIBLIOGRAFÍA:

[1].- IACC (2020). Etapas y técnicas del hacking ético. Parte II. Hacking Ético.
Semana 3.
[2].- Astudillo B. K. (2019). Hacking ético (3a. ed.). Ediciones de la U.
https://elibro.net/es/ereader/iacc/127123?page=13
[3].- CIRT.net. (n.d.). Nikto2 | CIRT.net. Https://Cirt.Net/Nikto2. Retrieved February 8,
2021, from https://cirt.net/Nikto2
[4].- INCIBE. (2017). Glosario de términos de ciberseguridad: una aproximación para
el empresario. España: Instituto Nacional de Ciberseguridad.
https://www.incibe.es/sites/default/files/contenidos/guias/doc/guia_glosario_ciber
seguridad_metad.pdf
[5].- Informatesalta. (2019). Así se gestó el fraude por el que a Boca le robaron
600.000 euros.Troka Comunicadores: Deportes.
https://informatesalta.com.ar/contenido/218030/asi-se-gesto-el-fraude-por-el-
que-a-boca-le-robaron-600000-euros
[6].- NMAP. (s.f.). Nmap Security Scanne. NMAP.ORG. https://nmap.org/
[7].- OpenVAS (2019). OpenVAS - Open Vulnerability Assessment Scanner.
https://www.openvas.org/
[8].- OWASP. (2020). OWASP Zed Attack Proxy (ZAP). OWASP Flagship Project.
https://www.zaproxy.org/
[9].- Tenable. (2020). Cyber Exposure. https://www.tenable.com/
[10].- incibe.es. (2019, September 5). Ingeniería social: técnicas utilizadas por los
ciberdelincuentes y. INCIBE.
https://www.incibe.es/protege-tu-empresa/blog/ingenieria-social-tecnicas-
utilizadas-los-ciberdelincuentes-y-protegerse
[11].- Velasco, R. (2015, April 25). OWASP ZAP, herramienta para auditar la seguridad
de una página web. RedesZone.
https://www.redeszone.net/2015/04/25/seguridad-web-owasp-zap/
[12].- MIT. (n.d.). EvaluaciÃ3n de herramientas. Mit.Edu. Retrieved February 8, 2021,
from https://web.mit.edu/rhel-doc/4/RH-DOCS/rhel-sg-es-4/s1-vuln-tools.html
[13].- Voigt, I. (2020, Noviembre 26). ¿Qué es el empila fingido? Nordeste.
https://nordvpn.com/es/blog/que-es-email-spoofing/