Documentos de Académico
Documentos de Profesional
Documentos de Cultura
Así se gestó el fraude por el que a Boca le robaron 600.000 euros, disponible en:
https://www.mdzol.com/deportes/2019/12/20/asi-se-gesto-el-fraude-por-el-que-boca-le-
robaron-600000-euros-56758.html
Ambas se relacionan con lo que sucedió en el caso de estafa al equipo de fútbol Boca
Juniors. Considerando lo anterior, y para que no ocurriera lo mismo en la empresa
donde trabaja (Altoromutual), sus jefes le solicitaron que, considerando este caso, le
enseñara a toda la compañía las lecciones que se pueden obtener de él, para lo cual
deberá usted debe tener en cuenta:
1. Las técnicas de ingeniería social utilizadas para poder llevar a cabo la estafa,
describa a lo menos 3 de ellas.
A) FARMING:
Dentro de las técnicas utilizadas por los ciber-criminales para llevar a cavo esta
estafa, se puede reconocer que nos encontramos dentro del área del Farming,
Pero porque este y no el Hunting por ejemplo. El Farming lo distinguirse la
particularidad de que esta intenta mantener el ataque por el mayor tiempo posible
[1](Pág.7), con la intención de poder utilizar la posición de la víctima con los
conocimientos de ella o los recursos a los cuales tiene acceso (fraude del CEO y
RRHH).[10].
B) PHISHING.
Esta apodo lo alberga el fraude que se comete por medios telemáticos, donde el
estafador intenta acceder a información confidencial (datos bancarios, contraseñas,
etc.), de los usuarios legítimos de una forma fraudulenta. Los recursos afectados
aquí son cualquier trabajador, autónomo o empresa que tenga cuenta o trabaje con
la compañía atacada. El estafador o phisher suplanta la figura de un individuo o
empresa de confianza para que el receptor de una comunicación electrónica oficial
(vía e-mail, fax, SMS o telefónicamente) crea en su fiabilidad y propicie, de esta
manera, los datos privados de interés para el estafador [4].. Existen distintas
modalidades de Phishing. Cuando éste se ejecuta vía SMS el nombre técnico es
Smishing y cuando se llevar a cabo utilizando Voz sobre IP, se nombra Vishing.
Otra diversidad es el Spear Phishing, en donde los atacantes intentan mediante un
correo electrónico, que finge ser de un amigo o de empresa conocida, obtener que
se les facilite: información financiera, números de tarjeta de crédito, cuentas
bancarias o contraseñas.
C) PRETEXTING.
También en este caso expuesto nos encontramos con esta técnica, ya que
pretexting se especifica como la creación de una historia que tiene parte real y lado
falso, con el propósito de obtener de una víctima información esencial de la
empresa para escalar dentro de la empresa.
2. De las herramientas usadas actualmente en su empresa, realice una tabla
comparativa con la información que puede lograr con ellas:
OWASP ZAP (a) Herramienta totalmente gratuita (a) Posibilidad de comprobar todas las
y de código abierto. peticiones y respuestas entre cliente
(b) Herramienta multi-plataforma, y servidor.
compatible incluso con (b) Posibilidad de localizar recursos en
Raspberry Pi. un servidor.
(c) Fácil de instalar, dependiendo (c) Análisis automáticos.
únicamente de Java 1.7 o (d) Análisis pasivos.
superior. (e) Posibilidad de lanzar varios ataques
(d) Posibilidad de asignar un a la vez.
sistema de prioridades. (f) Capacidad para utilizar certificados
(e) Traducida a más de 12 idiomas, SSL dinámicos.
entre ellos, el español. (g) Soporte para utilizar tarjetas
(f) Excelente manual de ayuda y inteligentes (DNI-e, por ejemplo) y
gran comunidad en la red. certificados personales.
[11] (h) Análisis de sistemas de
autenticación.
(i) Posibilidad de actualizar la
herramienta automáticamente.
(j) Dispone de una tienda de
extensiones (plugins) con las que
añadir más funcionalidades a la
herramienta.
[11]
NMAP (a) Nmap es una herramienta (a) Nmap se puede ejecutar desde un
popular incluida en Red Hat intérprete de comandos escribiendo
Enterprise Linux. el comando nmap seguido del
(b) Puede ser usada para nombre o la dirección IP de la
determinar la distribución de la máquina que desea explorar:
red. (ejemplo)
(c) Incluye una página man nmap www.iacc.cl
excelente con una descripción
detallada de sus opciones y (b) Nmap prueba los puertos de
uso. comunicación de red más comunes
(d) Los administradores pueden por servicios en espera o
usar Nmap en una red para escuchando. Este conocimiento
encontrar sistemas host y puede ser útil para un administrador
puertos abiertos en esos que desea cerrar servicios que no
sistemas. sean necesarios o que no se estén
(e) Puede mapear todos los hosts utilizando.
dentro de la red y hasta puede
pasar una opción que le MIT. (n.d.)[12]
permite tratar de identificar el
sistema operativo que se está
ejecutando en un host en
particular.
(f) Nmap es un buen fundamento
para establecer una política de
uso de servicios seguros y
detener servicios que no se
estén usando.
MIT. (n.d.)[12]
NIKTO (a) Soporte SSL (Unix con (a) Nikto es un escáner de servidor
OpenSSL o quizás Windows web de código abierto ( GPL ) que
con realiza pruebas exhaustivas contra
(b) Perl / NetSSL de ActiveState) servidores web para varios
(c) Soporte completo de proxy elementos, incluidos más de 6700
HTTP archivos / programas
(d) Comprobaciones de potencialmente peligrosos.
componentes de servidor (b) Verifica versiones desactualizadas
obsoletos de más de 1250 servidores y
(e) Guarde informes en texto sin problemas específicos de la versión
formato, XML, HTML, NBE o en más de 270 servidores.
CSV (c) Comprueba los elementos de
(f) Motor de plantillas para configuración del servidor, como la
personalizar fácilmente los presencia de varios archivos de
informes índice, las opciones del servidor
(g) Escanea varios puertos en un HTTP e intentará identificar los
servidor o varios servidores a servidores web y el software
través de un archivo de instalados
entrada (incluida la salida
nmap) CIRT.net. (n.d.)[3]
(h) Técnicas de codificación IDS
de LibWhisker
(i) Se actualiza fácilmente a
través de la línea de comandos
(j) Identifica el software instalado
mediante encabezados,
favicons y archivos
(k) Autenticación de host con
Basic y NTLM
(l) Adivinar subdominio
(m) Enumeración de nombre de
usuario de Apache y cgiwrap
(n) Ajuste de escaneo para incluir
o excluir clases completas de
(o) verificaciones de vulnerabilidad
(p) Adivina las credenciales para
los dominios de autorización
(incluidas muchas
combinaciones de ID / pw
predeterminadas)
(q) La adivinación de autorización
maneja cualquier directorio, no
solo el directorio raíz
(r) Reducción de falsos positivos
mejorada a través de varios
métodos: encabezados,
contenido de la página y hash
de contenido Informa que se
han visto encabezados
"inusuales"
(s) Estado interactivo, pausa y
cambios en la configuración de
verbosidad
(t) Guardar solicitud / respuesta
completa para pruebas
positivas
(u) Reproducir solicitudes
positivas guardadas
(v) Tiempo máximo de ejecución
por objetivo
(w) Pausa automática en un
momento específico
(x) Verificaciones de sitios de
"estacionamiento" comunes
(y) Iniciar sesión en Metasploit
(z) Documentación exhaustiva
CIRT.net. (n.d.)[3]
3. Describa paso a paso cada uno de los pasos realizados por los atacantes para
lograr realizar la estafa, proporcionando más antecedentes bibliográficos que los
señalados anteriormente.
En el hacking ético, es enjundioso discernir que se deben abordar todos los métodos
utilizados por los atacantes para socavar la seguridad de una empresa donde no se
deben ignorar ninguna alternativa, como son los ataques de ingeniería social. Es de
ayuda fundamental actualizar nuestros sistemas, pero lejos lo más importante es contar
con personal bien capacitado, porque dicha protección hará la diferencia entre una
empresa u otra. Por otro lado, las herramientas de escaneo automático proporcionarán
mucha información de fondo para achicar el tiempo de análisis, pero se deben
considerar los falsos positivos y falsos negativos que pueden ocurrir durante el análisis
automático, por lo que esta información también debe ser considerada. Finalizada la
Tarea Semana 3 podemos distinguir las técnicas más comunes de Ingeniería Social,
discriminar herramientas de análisis identificando su función específica y destacar cada
fase y técnica empleada dentro de un caso real.
BIBLIOGRAFÍA:
[1].- IACC (2020). Etapas y técnicas del hacking ético. Parte II. Hacking Ético.
Semana 3.
[2].- Astudillo B. K. (2019). Hacking ético (3a. ed.). Ediciones de la U.
https://elibro.net/es/ereader/iacc/127123?page=13
[3].- CIRT.net. (n.d.). Nikto2 | CIRT.net. Https://Cirt.Net/Nikto2. Retrieved February 8,
2021, from https://cirt.net/Nikto2
[4].- INCIBE. (2017). Glosario de términos de ciberseguridad: una aproximación para
el empresario. España: Instituto Nacional de Ciberseguridad.
https://www.incibe.es/sites/default/files/contenidos/guias/doc/guia_glosario_ciber
seguridad_metad.pdf
[5].- Informatesalta. (2019). Así se gestó el fraude por el que a Boca le robaron
600.000 euros.Troka Comunicadores: Deportes.
https://informatesalta.com.ar/contenido/218030/asi-se-gesto-el-fraude-por-el-
que-a-boca-le-robaron-600000-euros
[6].- NMAP. (s.f.). Nmap Security Scanne. NMAP.ORG. https://nmap.org/
[7].- OpenVAS (2019). OpenVAS - Open Vulnerability Assessment Scanner.
https://www.openvas.org/
[8].- OWASP. (2020). OWASP Zed Attack Proxy (ZAP). OWASP Flagship Project.
https://www.zaproxy.org/
[9].- Tenable. (2020). Cyber Exposure. https://www.tenable.com/
[10].- incibe.es. (2019, September 5). Ingeniería social: técnicas utilizadas por los
ciberdelincuentes y. INCIBE.
https://www.incibe.es/protege-tu-empresa/blog/ingenieria-social-tecnicas-
utilizadas-los-ciberdelincuentes-y-protegerse
[11].- Velasco, R. (2015, April 25). OWASP ZAP, herramienta para auditar la seguridad
de una página web. RedesZone.
https://www.redeszone.net/2015/04/25/seguridad-web-owasp-zap/
[12].- MIT. (n.d.). EvaluaciÃ3n de herramientas. Mit.Edu. Retrieved February 8, 2021,
from https://web.mit.edu/rhel-doc/4/RH-DOCS/rhel-sg-es-4/s1-vuln-tools.html
[13].- Voigt, I. (2020, Noviembre 26). ¿Qué es el empila fingido? Nordeste.
https://nordvpn.com/es/blog/que-es-email-spoofing/