¿Es necesario un

13
hacking ético? Hackin…

Pentesting

Conceptos. ¿Qué es y
14
qué no es una…

Tipos de pentesting.
15
Fase Pre-ataque

Práctica: Buscando
16
secretos en repositori…

Introducción al escaneo
17
de redes

Práctica: Escaneo de
18
redes con Nmap
Curso de Hacking Ético PRÁCTICA: OBTE…
Fase de Ataque. Testing
19
de aplicaciones web…
Qué es el hacking y cuáles son los tipos de hacker 10/35
Práctica: Explotando
20
vulnerabilidades en…
RECURSOS TRANSCRIPCIÓN MARCADORES
Fase Post-ataque.
21
Metodologías
El hacking es el conjunto de técnicas utilizadas para violar la ciberseguridad de sistemas vulnerables con
Estándares y aspectos
el fin de obtener acceso a datos no autorizados. Esta práctica puede realizarse a través de diversos
legales
mecanismos, como el phishing y el ransomware, que veremos en este artículo.
PCI DSS. HIPAA.
22
La motivación para las
DMCA.ISO/IEC y los hackers es robar información, retarse intelectualmente, experimentar, generar
27001
ingresos, obtener prestigio o poder, reconocimiento o vengarse de un sistema, organización o persona.
Contratos, Reglas de
23
compromisos, Cláusul…

Convenio de Budapest.
24
¿Cómo vamos en…

Casos típicos de
ataques

Malware y Análisis
25 estático de malware
 estát co de a ae

Malware y Análisis
26
dinámico de malware

Sniffing y Cómo realizar

27
un ataque Man in the…

Sniffing y Cómo realizar

28
un ataque Man in the…

Denegación de servicio.
29
Ataque DOS con LOIC …

30 Ingeniería social

Controles y
mecanismos de…

Políticas de seguridad.
31
Seguridad física y…

Práctica: Bypass
32
autenticación QR (Ret…

Copias de seguridad.
33
Defensa en lo profundo

Práctica: instalación del

34
IDS snort

Gestión de riesgos y
35
modelado de amenazas

Tipos de hacking
La manera en que pueden entrar e invadir tu privacidad en tu dispositivo o computadora puede varias
según el tipo de hacking. Conoce cuáles son estas tácnicas a continuación para no caer en ellas.
1. Phishing
En este tipo de hacking los atacantes intentan robar información crítica de las y los usuarios como
contraseñas de cuentas, detalles de tarjetas de crédito, entre otros objetivos. ¿Cómo? A través de la
redirección del usuario a páginas falsas que pretenden robar su información al aparentar ser una interfaz
bancaria de redes sociales o servicios básicos.

Por ejemplo, un atacante puede hacer una réplica del sitio web de tu banco con una URL muy similar y
enviarte un correo diciendo que tienes que recuperar tu contraseña. Para lograr esto, se hace una
simulación de interfaz de usuario

2. Simulación de la interfaz de usuario (UI redress)

En esta técnica, el hacker crea una interfaz falsa y una vez que el usuario hace clic con la intención de
ingresar a un sitio web que ya conoce, el hacker captura sus credenciales.

3. Virus, malware y ransomware

Es software que se descarga en el computador de la víctima, cuando se se ejecuta, causa diferentes tipos
de daños, tanto en su equipo como en su red.

Los más conocidos son:

Virus: destruye la información del equipo que infecta y busca replicarse hacia otros, replicando el
comportamiento de un virus humano.

Malware: una vez instalado, empieza a robar información o instalar otro software secundario que
convierta al equipo en un bot para fines maliciosos.

Ransomware: cuando se ejecuta, empieza a encriptar los archivos del equipo y/o de la red local,
volviéndolos inaccesibles para sus usuarios. Para desencriptarlos, solicitan un rescate (ransom),
usualmente pagado en criptomonedas. Pagar este rescate no garantiza que se desencripte la
información y no se pierda, o que el ataque no se vuelva a repetir en el futuro cercano.

4. Robo de cookies y session hijacking

Los hackers logran inyectar código malicioso en sitios web y con esto, logran tener acceso a sus equipios
y roban las cookies de sesión de los usuarios, que contienen información sensible como contraseñas de
acceso. Logrando simular el acceso a otro sitio web por parte del usuario genuino.

5. Distributed Denial-of-service(DDoS)
En español: ataque de negación de servicio distribuido. Esta técnica de hacking tiene como objetivo
derribar un sitio web para que sus usuarios no puedan acceder a él, evitando que preste sus servicios. En
ocasiones
6. Suplantación de DNS
Tomando la información de DNS (Domain Name Server) que ha sido comprometida, el atacante puede
redirigir el tráfico de un sitio web hacia otro malicioso de su propiedad, sin que el usuario pueda haber
notado el engaño.

7. Ingeniería social
La ingeniería social es un intento de aprovecharse de la confianza de las personas, haciéndose pasar por
amigos o supervisores, para invitarlas a compartir información personal, con el afán de usar esta
información para acceder a sistemas restringidos. Se dice que en un sistema el eslabón más débil
siempre van a ser las personas que lo operan.

8. Zero-day Exploits y falta de parches de seguridad

Son agujeros de último minuto que se encuentran en aplicaciones de uso masivo y que los atacantes
aprovechan para explotar hasta que se pueda producir y enviar un parche oficial luego de ser
descubiertos. Las herramientas por lo general dejan de ser actuales como resultado del avance de la
piratería informática, y necesitan actualizaciones frecuentes para protegerse de las nuevas amenazas.

9. Dispositivos de inyección de malware

Los ciberdelincuentes utilizan hardware, que dejan al alcance del usuario deliberadamente, para tentarlo a
que lo conecte a su equipo y así lograr infiltrar malware en su PC. El ejemplo más común son las road
apples (del inglés manzanza de camino) que son unidades flash memory que dejan “abandonadas” para
que un usuario descuidado las encuentre y las use.

10. Cracking de contraseñas

Las y los atacantes pueden obtener credenciales de un usuario mediante diferentes formas de llegar a
sus contraseñas. El método más usual es conocido como key-logging, que es la práctica de grabar, ya sea
por software o hardware, el tipeo de las teclas por parte de los usuarios en sus teclados.

También existe un método conocido como brute force (fuerza bruta) que utiliza diccionarios para intentar
millones de combinaciones hasta llegar a la contraseña correcta. Este último tipo de ataque ha caído en
desuso porque prácticamente todos los sistemas actuales ya cuentan con un límite de intentos
infructuosos para ingresar.

Qué es un hacker
Los hackers son individuos con excelentes habilidades informáticas, capacidad de crear y explorar el
software y hardware de un equipo de cómputo, con conocimientos para descubrir vulnerabilidades en un
sistema objetivo, cuyos creadores originales no habían anticipado.

Tipos de hackers
Los tipos principales de hackers según la naturaleza ética de sus ataques son.

Black hat (sombrero negro)

Este tipo de hacking consiste en entrar en un sistema informático sin autorización y, por tanto, generarle
problemas. Se ejecuta con el propósito de causar daños al sistema o a los datos que contiene. Un
ejemplo sería la instalación de malware en el sistema que permitiría a alguien obtener acceso remoto al
mismo y utilizarlo para sus propios fines, como robar información del usuario o enviar contenido
malicioso a otras personas para infectar también sus sistemas.

White hat (sombrero blanco)

Este tipo de hacking se realiza con la autorización y el consentimiento de todas las partes implicadas para
averiguar la seguridad de un sistema. Tiene el objetivo de ayudar a los creadores del software a mejorar
sus mecanismos de seguridad y en la actualidad es una disciplina bien remunerada por empresas de
seguridad y creación de software.

Gray Hat (sombrero gris)

Es un punto intermedio entre white hat y black hat. Realiza diferentes tipos de ataques en distintas
circunstancias y en ocasiones ataca a empresas con el afán de buscar una recompensa de su parte. Sus
motivaciones no son tan destructivas como un blackhat o meramente profesionales como un white hat.

Script Kiddies
Son individuos no calificados que carecen de nociones profundas de hacking y lo único que hacen es
apoyarse en herramientas ya existentes, o scripts para ejecutar ataques. De ahí su nombre (niñitos del
script).

Hacktivists
Son personas que utilizan el hacking como herramienta para una agenda política o social y causar daños
es su forma de atraer la atención sobre temas por los que está luchando.

Whisteblowers
Un whistleblower (o soplón) es alguien que no necesariamente es un hackcer, sino que goza de
información privilegiada dentro de un sistema o empresa y decide filtrarla para denunciar sus delitos o
bien beneficiarse económicamente. Uno de estos casos es el de Edward Snowden, que prendió la alarma
sobre el software de vigilancia PRISM que el gobierno de Estados Unidos estaba empleando en el mundo
entero.

Lecturas recomendadas

RFC 1087 - Ethics and the Internet

https://tools.ietf.org/html/rfc1087