Documentos de Académico
Documentos de Profesional
Documentos de Cultura
Técnicas y
Herramientas
Threat Hunting
Hipótesis:
Todo comienza con una hipótesis sobre una posible amenaza. Esta hipótesis puede surgir de
la inteligencia de amenazas, patrones de comportamiento inusual o conocimiento sobre TTPs
(Tácticas, Técnicas y Procedimientos) de atacantes.
Disparador (Trigger):
Si los datos recopilados respaldan la hipótesis, se puede identificar una anomalía o actividad
sospechosa que sirve como disparador para una investigación más profunda.
Investigación:
Una vez identificada la anomalía, se inicia una investigación detallada. Esto puede implicar el
rastreo de la actividad del atacante, identificar puntos de entrada, y determinar el alcance
del compromiso. Herramientas como EDR pueden ser cruciales en esta fase para obtener una
visión detallada de las actividades en los endpoints.
Respuesta/Resolución:
Una vez que se ha investigado y confirmado la amenaza, se toman medidas para contener y
neutralizar el ataque. Esto puede incluir la eliminación de malware, la restauración de
sistemas comprometidos y la implementación de medidas para prevenir futuros ataques
similares. Además, se documentan los hallazgos y se ajustan las defensas para mejorar la
postura de seguridad general.
Threat Hunting
Además, la caza de amenazas proporciona una comprensión más profunda de las tácticas y
técnicas de los atacantes, lo que permite a las organizaciones adaptar y fortalecer sus
defensas en consecuencia. Es una estrategia esencial para las organizaciones que buscan
mejorar su postura de seguridad y protegerse contra las amenazas cibernéticas avanzadas.
Tipos de Caza de Amenazas (Threat Hunting)
La caza de amenazas es una actividad proactiva que busca identificar amenazas antes de que
causen daño. Existen diferentes métodos de caza de amenazas, cada uno con un enfoque y
propósito específico:
Crear Nuevos Métodos: Los cazadores de amenazas no están limitados a reglas o métodos
existentes. Pueden innovar y adoptar nuevos enfoques para mantenerse un paso adelante de
los atacantes.
Modelo de Madurez de Caza de Amenazas (HMM)
Nivel 0: Inicial
En este nivel, los analistas confían en herramientas automatizadas de monitoreo y alerta
como SIEM, sistemas de detección de intrusiones (IDS) y soluciones antimalware para
detectar actividades maliciosas. Pueden integrar indicadores de inteligencia de amenazas y
actualizaciones de firmas, y hasta podrían construir sus propios indicadores; todos estos se
cargan directamente en sistemas de monitoreo para detectar amenazas. La eficiencia de
identificación de amenazas es limitada debido a la escasa recopilación de datos.
Nivel 1: Mínimo
En el nivel mínimo, las organizaciones utilizan inteligencia de amenazas para buscar
anomalías en la red, siguen los últimos informes de amenazas y utilizan herramientas de
código abierto para el análisis. Dependen de la recopilación rutinaria de datos de TI y datos
de inteligencia de amenazas.
Modelo de Madurez de Caza de Amenazas (HMM)
Nivel 2: Procedural
En este nivel, las organizaciones adoptan procedimientos de análisis de datos creados por
otras entidades. Aunque pueden recopilar una gran cantidad de información, pueden no ser
capaces de crear sus propios procedimientos en cada ocasión.
Nivel 3: Innovador
En el nivel innovador, la organización cuenta con un grupo de analistas de seguridad que
conocen los programas de análisis de datos existentes. Estos analistas se encargan de
descubrir actividades maliciosas. Las organizaciones crean y aplican sus propios
procedimientos en este nivel.
Nivel 4: Líder
El nivel líder es similar al innovador, pero permite la automatización. Las organizaciones
automatizan la recopilación de datos, detección y procedimientos de análisis. Esto permite a
los analistas centrarse en mejorar los procedimientos existentes y crear nuevos, en lugar de
gastar tiempo en procesos rutinarios.
Consideraciones para la Caza de Amenazas
Para llevar a cabo la caza de amenazas, el analista necesita una gran cantidad de datos de
múltiples fuentes que contengan información histórica, registros de seguridad, feeds, etc. Los
cazadores de amenazas deben considerar las siguientes medidas para recopilar información y
cazar amenazas de manera efectiva.
Consideraciones para la Caza de Amenazas
Maniobra (Maneuver):
Un atacante puede esperar programas de caza de amenazas e intentar evadir métodos de
detección implementando contramedidas contra el cazador de amenazas. Una maniobra es
una técnica utilizada en la guerra cibernética que se basa en el conocimiento de algunos
ataques recientes y la naturaleza de esos ataques. La maniobra está entre las técnicas y
procedimientos utilizados para tomar represalias y proteger los recursos de TI, ya que se
inicia para dar a un actor una ventaja competitiva sobre otro actor.
Herramientas para la Caza de Amenazas
MVISION EDR
Fuente: McAfee
Descripción: MVISION EDR es una herramienta de investigación de amenazas basada en IA
que ayuda a los analistas de seguridad a priorizar rápidamente las amenazas y minimizar la
interrupción potencial. La herramienta reduce el tiempo para detectar y responder a
amenazas. Facilita la detección de amenazas de alta calidad y accionables en todo el espacio
de trabajo sin ruido.
Herramientas para la Caza de Amenazas
Cognito Recall
Fuente: Vectra
Descripción: Cognito Recall es una solución que proporciona visibilidad detallada del
comportamiento de la red, permitiendo a los cazadores de amenazas investigar incidentes y
buscar amenazas persistentes.
Infocyte
Fuente: Infocyte
Descripción: Infocyte es una plataforma diseñada para la detección y respuesta de amenazas,
facilitando la identificación rápida de amenazas en tiempo real y la respuesta a incidentes.
Herramientas para la Caza de Amenazas
Exabeam
Fuente: Exabeam
Descripción: Exabeam es una plataforma de gestión de seguridad de la información y eventos (SIEM)
que utiliza análisis de comportamiento para detectar y responder a amenazas.
ValueMentor
Fuente: ValueMentor
Descripción: ValueMentor es una empresa de ciberseguridad que ofrece una variedad de servicios,
incluida la caza de amenazas, para ayudar a las organizaciones a protegerse contra amenazas
avanzadas.
FlowTraq
Fuente: FlowTraq
Descripción: FlowTraq es una solución de análisis de tráfico de red que proporciona visibilidad
completa del tráfico de red y permite a los cazadores de amenazas identificar patrones anómalos.
Inteligencia de Amenazas Cibernéticas (CTI)
De acuerdo con el diccionario Oxford, una amenaza se define como "[l]a posibilidad de un
intento malicioso de dañar o interrumpir una red o sistema informático". Una amenaza es
una posible ocurrencia de un evento no deseado que puede dañar e interrumpir las
actividades operativas y funcionales de una organización. Una amenaza puede afectar los
factores de integridad y disponibilidad de una organización. El impacto de las amenazas es
muy alto y puede afectar la existencia de los activos físicos de TI en una organización. La
existencia de amenazas puede ser accidental, intencional o debido al impacto de alguna otra
acción.
Inteligencia de Amenazas Cibernéticas (CTI)
El principal objetivo de la CTI es hacer que la organización esté al tanto de las amenazas
existentes o emergentes y prepararla para desarrollar una postura de seguridad cibernética
proactiva con anticipación antes de que estas amenazas puedan explotarlas. Este proceso,
donde las amenazas desconocidas se convierten en posiblemente conocidas, ayuda a
anticipar el ataque antes de que pueda ocurrir y, en última instancia, resulta en un sistema
mejor y más seguro en la organización. Por lo tanto, la Inteligencia de Amenaza es útil para
lograr el intercambio y las transacciones de datos seguros entre organizaciones a nivel
mundial.
Inteligencia de Amenazas Cibernéticas (CTI)
El proceso de inteligencia de amenazas puede utilizarse para identificar los factores de riesgo
responsables de ataques de malware, inyecciones SQL, ataques a aplicaciones web,
filtraciones de datos, phishing, ataques de denegación de servicio, etc. Estos riesgos, una vez
filtrados, pueden ser incluidos en una lista de verificación y manejados adecuadamente. La
inteligencia de amenazas es beneficiosa para una organización para manejar amenazas
cibernéticas con una planificación y ejecución efectivas, junto con un análisis exhaustivo de la
amenaza; también fortalece el sistema de defensa de la organización, crea conciencia sobre
los riesgos inminentes y ayuda a responder contra dichos riesgos.
Tipos de Inteligencia de Amenazas Cibernéticas
Inteligencia Comercial
Descripción: Estos proveedores ofrecen soluciones de inteligencia de amenazas basadas en sus
propias investigaciones y análisis. A menudo, esta inteligencia es más detallada y específica que
OSINT.
Proveedores: Empresas de seguridad cibernética, proveedores de soluciones de inteligencia de
amenazas.
Uso: Ideal para organizaciones que buscan información detallada y actualizada sobre amenazas
específicas y técnicas de ataque.
Capas de Inteligencia de Amenazas
Inteligencia Gubernamental
Descripción: La inteligencia proporcionada por agencias gubernamentales se basa en la
recopilación y análisis de amenazas que pueden afectar a la seguridad nacional o económica.
Proveedores: Agencias de inteligencia gubernamentales, organismos de aplicación de la ley.
Uso: Especialmente útil para organizaciones críticas y sectores de infraestructura esencial.
Inteligencia de la Comunidad
Descripción: Esta capa se refiere a la inteligencia compartida dentro de comunidades
específicas, como industrias o grupos de interés.
Proveedores: Grupos de intercambio de información sobre amenazas (TIPs), asociaciones
industriales, foros de discusión especializados.
Uso: Ideal para organizaciones que buscan información relevante para su industria o sector
específico.
Capas de Inteligencia de Amenazas
Los feeds de inteligencia de amenazas (TI feeds) son flujos continuos de datos empaquetados
relacionados con amenazas potenciales o actuales para una organización. Estos feeds son
esenciales para mantener a las organizaciones informadas sobre las amenazas emergentes y
actuales en tiempo real.
Integración con herramientas de seguridad: Por ejemplo, algunos firewalls pueden aceptar
feeds y bloquear automáticamente direcciones IP maliciosas.
Generación de alertas: Herramientas como SIEM y UEBA pueden correlacionar datos de TI
feeds con eventos de seguridad internos para generar alertas.
Revisión manual: Los analistas de seguridad pueden revisar los feeds para investigar
amenazas que parezcan relevantes para la postura de seguridad de la organización.
Inteligencia de Amenazas en Tiempo Real (Feeds de Inteligencia de Amenazas)
Infraestructura de red.
Postura de seguridad actual.
Finanzas disponibles para implementar inteligencia de amenazas.
Capacidad de gestión de inteligencia de amenazas.
Si la información es suficiente para construir una estrategia sólida para la organización.
Inteligencia de Amenazas en Tiempo Real (Feeds de Inteligencia de Amenazas)
Fuentes de TI Feeds:
Feeds públicamente disponibles: Estos feeds son de acceso libre y se pueden encontrar en
Internet. Ejemplos incluyen SHODAN, Threat Connect, Virus Total, entre otros.
Proveedores comerciales: Estos feeds suelen ser de pago y son proporcionados por
organizaciones especializadas. Ejemplos incluyen Microsoft Cyber Trust Blog, SecureWorks
Blog, Kaspersky Blog, entre otros.
Inteligencia de Amenazas en Tiempo Real (Feeds de Inteligencia de Amenazas)
Las fuentes de inteligencia son esenciales para diseñar un sistema de inteligencia eficiente.
Estas fuentes proporcionan una gran cantidad de información a los analistas para identificar
amenazas potenciales y en evolución, permitiendo a una organización tomar decisiones
estratégicas a tiempo.
Fuentes de Inteligencia de Amenazas
Fuentes Comerciales: Proveedores que hacen disponibles comercialmente los feeds y otros
tipos de datos de inteligencia a las organizaciones. Ejemplos incluyen FortiGuard,
SecureWorks, Cisco, entre otros.
La web superficial o Surface Web es la capa visible del ciberespacio que permite al usuario
encontrar páginas web y contenido utilizando navegadores web convencionales. Sin
embargo, más allá de esta capa superficial, existen regiones más profundas y ocultas del
ciberespacio conocidas como Deep Web y Dark Web.
Búsqueda en la Deep Web y Dark Web
Deep Web: Es una capa del ciberespacio que consiste en páginas web y contenido que están
ocultos y no indexados. A diferencia de la Surface Web, el contenido de la Deep Web no
puede ser localizado usando un navegador web tradicional. La Deep Web es vasta y se
extiende a casi todo el World Wide Web. Esta capa incluye bases de datos gubernamentales,
archivos académicos, foros privados y otros recursos que no están disponibles para el público
general. Aunque la Deep Web es inmensa, no toda ella es nefasta; gran parte de ella consiste
en bases de datos y recursos legítimos.
Dark Web: Es una subcapa de la Deep Web donde las actividades se llevan a cabo de forma
anónima. Es conocida por ser un refugio para actividades ilegales, incluyendo la venta de
drogas, armas, datos robados y otros bienes y servicios ilícitos. La Dark Web sólo puede ser
accedida a través de herramientas especializadas que permiten el anonimato, como el
navegador Tor.
Búsqueda en la Deep Web y Dark Web
Tor Browser: Es el navegador más popular para acceder a la Dark Web. Proporciona anonimato al rebotar la
dirección IP del usuario a través de varios servidores antes de interactuar con la web. Permite a los usuarios
acceder a contenido oculto, sitios web no indexados y bases de datos cifradas presentes en la Deep Web y Dark
Web.
ExoneraTor: Una herramienta que permite a los usuarios consultar si una dirección IP estuvo involucrada en la
red Tor en una fecha específica.
Freenet: Una plataforma de comunicación resistente a la censura que permite a los usuarios publicar y
compartir archivos de forma anónima.
GNUnet: Una red de pares segura que ofrece privacidad a sus usuarios.
I2P (Invisible Internet Project): Una red anónima que permite a los usuarios enviar mensajes, participar en
foros y acceder a sitios web de forma anónima.
OneSwarm: Una herramienta de intercambio de archivos peer-to-peer que ofrece privacidad a sus usuarios.
IA y Análisis Predictivo para la Caza de Amenazas
Inteligencia Artificial (IA) y Aprendizaje Automático (ML): Estas tecnologías no solo mejoran
las operaciones en los Centros de Operaciones de Seguridad (SOCs) para detectar y prevenir
amenazas, sino que también aceleran la capacidad de respuesta ante incidentes de
seguridad. La IA permite crear sistemas con capacidades similares a las humanas, mientras
que el ML, una subcategoría de la IA, apoya la infraestructura de seguridad detectando
patrones de comportamiento y mapeando superficies de ataque en tiempo real a través de
algoritmos derivados de análisis estadísticos y conjuntos de datos previos.
IA y Análisis Predictivo para la Caza de Amenazas
Análisis Predictivo respaldado por IA: En lugar de adoptar un enfoque reactivo, el análisis
predictivo impulsado por IA permite a las organizaciones ser proactivas. Al utilizar
inteligencia de amenazas basada en IA, los equipos de seguridad pueden analizar los signos
de ataques anteriores, examinar las herramientas de ataque existentes y identificar posturas
de brecha. Al realizar un análisis predictivo a través de la inteligencia respaldada por IA, se
pueden tomar medidas reactivas con anticipación, permitiendo que los equipos de seguridad
estén un paso adelante de los atacantes.
TC Identify TM
Fuente: ThreatConnect
Descripción: TC Identify TM es una plataforma que permite a las organizaciones identificar,
gestionar y bloquear amenazas. Proporciona una visión unificada de las amenazas y los
actores, y permite la colaboración en tiempo real entre equipos de seguridad.
Yeti
Fuente: Yeti Platform
Descripción: Yeti es una plataforma diseñada para organizar observables, indicadores y
conocimientos sobre amenazas en una única estructurada base de datos. Yeti permite a los
analistas y operadores de seguridad colaborar y compartir sus conocimientos para detectar y
responder a amenazas.
Frameworks de Inteligencia de Amenazas
ThreatStream
Fuente: Anomali
Descripción: ThreatStream es una plataforma de inteligencia de amenazas que combina la
inteligencia de amenazas avanzada con la colaboración en una solución integrada. Ayuda a las
organizaciones a identificar y responder a las amenazas más relevantes.
IntelMQ
Fuente: ENISA
Descripción: IntelMQ es una solución para la recopilación y procesamiento de datos de seguridad. Es
una herramienta para CERTs (Computer Emergency Response Teams) para recopilar datos y mejorar
la situación de la ciberseguridad dentro de una organización.
Estándares y Formatos para Compartir Inteligencia de Amenazas
CybOX
Fuente: CybOX Project
Descripción: CybOX permite a las organizaciones compartir indicadores y detecciones de
ataques a redes informáticas entrantes en un formato estándar. La Expresión Observable
Cibernética (CybOXTM) es un lenguaje estandarizado para codificar y comunicar información
de alta fidelidad sobre observables cibernéticos. CybOX es flexible y apunta a soportar una
amplia gama de dominios de ciberseguridad relevantes, como inteligencia de amenazas,
caracterización de malware, operaciones de seguridad, respuesta a incidentes, intercambio
de indicadores, y forense digital.
Estándares y Formatos para Compartir Inteligencia de Amenazas
STIX
Fuente: STIX Project
Descripción: STIX (Structured Threat Information Expression) es un lenguaje y formato de
serialización utilizado para intercambiar inteligencia de amenazas cibernéticas (CTI). Permite
a las organizaciones compartir CTI de manera consistente y legible por máquina. STIX está
diseñado para mejorar muchas capacidades diferentes, como el análisis colaborativo de
amenazas, el intercambio automático de amenazas, la detección y respuesta automatizadas,
y más.
Estándares y Formatos para Compartir Inteligencia de Amenazas
TAXII
Fuente: TAXII Project
Descripción: TAXII (Trusted Automated Exchange of Intelligence Information) es un protocolo
de capa de aplicación para la comunicación de información de amenazas cibernéticas de
manera simple y escalable. Es un protocolo utilizado para intercambiar CTI a través de HTTPS.
TAXII define dos servicios principales para soportar una variedad de modelos de compartición
comunes:
Colección: Una interfaz para un repositorio lógico de objetos CTI proporcionados por un
Servidor TAXII.
Canal: Mantenido por un Servidor TAXII, un canal permite a los productores empujar datos a
muchos consumidores y a los consumidores recibir datos de muchos productores.
Investigación de Vulnerabilidades
Clasificación de Vulnerabilidades:
Nivel de Gravedad: Puede ser bajo, medio o alto, dependiendo del impacto potencial de la
vulnerabilidad.
Rango de Explotación: Determinar si la vulnerabilidad puede ser explotada localmente (en la
misma red o dispositivo) o de forma remota (a través de Internet).
Recursos para la Investigación de Vulnerabilidades
SC Magazine: https://www.scmagazine.com
Proporciona noticias y análisis sobre ciberseguridad.
Exploit Database: https://www.exploit-db.com
Una base de datos de exploits y vulnerabilidades conocidas.
SecurityFocus: https://www.securityfocus.com
Ofrece noticias, discusiones y una base de datos de vulnerabilidades.
Help Net Security: https://www.helpnetsecurity.com
Publica noticias, análisis y opiniones sobre seguridad informática.
HackerStorm: http://www.hackerstorm.co.uk
Proporciona herramientas y recursos para la investigación de vulnerabilidades.
Computerworld: https://www.computerworld.com
Ofrece noticias y análisis sobre tecnología y ciberseguridad.
Evaluación de Vulnerabilidad Explicada
Alcance: Puede llevarse a cabo en cualquier aplicación de software, sistema o red. Sin
embargo, el alcance está definido por las necesidades de la organización, que podrían variar
desde una sola aplicación hasta toda la red de la organización.
Evaluación de Vulnerabilidad Explicada
Resultado: El resultado suele ser un informe que enumera las vulnerabilidades encontradas,
su gravedad y soluciones potenciales o estrategias de mitigación.
Falsos Positivos/Negativos: Ninguna herramienta es perfecta. Puede haber casos en los que
se señalen vulnerabilidades que no representan una verdadera amenaza (falsos positivos) o
se pasen por alto vulnerabilidades reales (falsos negativos).
Versión del Sistema Operativo: Pueden detectar qué versión del sistema operativo está en
funcionamiento en computadoras o dispositivos.
Cuentas con Contraseñas Débiles: Detectan cuentas que tienen contraseñas que pueden ser
fácilmente adivinadas o que no cumplen con las políticas de seguridad.
Información Obtenida del Escaneo de Vulnerabilidades
Archivos y Carpetas con Permisos Débiles: Identifican directorios y archivos que tienen
configuraciones de permisos inseguras.
Escaneo Activo: En este enfoque, el atacante interactúa directamente con la red objetivo
para encontrar vulnerabilidades. El escaneo activo ayuda a simular un ataque en la red
objetivo para descubrir vulnerabilidades que el atacante podría explotar. Este tipo de
escaneo también se conoce como escaneo intrusivo.
Evaluación Activa
Utiliza escáneres de red para identificar los hosts, servicios y vulnerabilidades presentes en
una red. Los escáneres activos pueden reducir la intrusividad de las comprobaciones que
realizan.
Evaluación Pasiva
Analiza el tráfico presente en la red para identificar los sistemas activos, servicios de red,
aplicaciones y vulnerabilidades. También proporciona una lista de los usuarios que están
accediendo a la red actualmente.
Evaluación Externa
Examina la red desde el punto de vista de un hacker para identificar exploits y
vulnerabilidades accesibles desde el exterior. Estima la amenaza de ataques de seguridad de
red desde fuera de la organización.
Tipos de Evaluación de Vulnerabilidades
Evaluación Interna
Implica examinar la red interna para encontrar exploits y vulnerabilidades. Se centra en
aspectos como puertos abiertos, configuraciones de routers, vulnerabilidades del sistema
operativo y presencia de troyanos.
Evaluación de Aplicaciones
Se centra en aplicaciones web transaccionales, aplicaciones cliente-servidor tradicionales y
sistemas híbridos. Analiza todos los elementos de una infraestructura de aplicación.
Evaluación Distribuida
Empleada por organizaciones que poseen activos en diferentes ubicaciones, implica evaluar
simultáneamente los activos distribuidos de la organización.
Evaluación Manual
Después de realizar el footprinting y el escaneo de red y obtener información crucial, si el
profesional de seguridad realiza una investigación manual para explorar las vulnerabilidades,
se considera una evaluación manual.
Evaluación Automatizada
Donde un profesional de seguridad utiliza herramientas de evaluación de vulnerabilidades
para realizar una evaluación de vulnerabilidad del objetivo.
Ciclo de Vida de la Gestión de Vulnerabilidades
Escaneo de Vulnerabilidades
Esta fase es crucial en la gestión de vulnerabilidades. Aquí, el analista de seguridad realiza un
escaneo de vulnerabilidades en la red para identificar las vulnerabilidades conocidas en la
infraestructura de la organización. También se pueden realizar escaneos de vulnerabilidades
en plantillas de cumplimiento aplicables.
Evaluación de Riesgos
En esta fase, todas las incertidumbres graves asociadas con el sistema se evalúan y priorizan,
y se planifica la remediación para eliminar permanentemente los defectos del sistema. La
evaluación de riesgos resume la vulnerabilidad y el nivel de riesgo identificado para cada uno
de los activos seleccionados.
Ciclo de Vida de la Gestión de Vulnerabilidades
Remediación
Es el proceso de aplicar soluciones en sistemas vulnerables para reducir el impacto y la
gravedad de las vulnerabilidades. Esta fase se inicia después de la implementación exitosa de
las etapas de línea base y evaluación.
Verificación
En esta fase, el equipo de seguridad realiza un nuevo escaneo de los sistemas para evaluar si
la remediación requerida está completa y si las soluciones individuales se han aplicado a los
activos afectados.
Monitoreo
Las organizaciones deben realizar un monitoreo regular para mantener la seguridad del
sistema. Utilizan herramientas como IDS/IPS y cortafuegos. El monitoreo continuo identifica
amenazas potenciales y cualquier nueva vulnerabilidad que haya surgido.
Herramientas de Evaluación de Vulnerabilidades
OpenVAS
Fuente: https://www.openvas.org
OpenVAS es un marco de varios servicios y herramientas que ofrecen una solución de
escaneo y gestión de vulnerabilidades completa y poderosa. El marco es parte de la solución
comercial de gestión de vulnerabilidades de Greenbone Networks, cuyos desarrollos han sido
contribuidos a la comunidad de código abierto desde 2009. El escáner de seguridad real va
acompañado de un feed actualizado regularmente de Pruebas de Vulnerabilidad de Red
(NVTs), más de 50,000 en total.
Herramientas de Evaluación de Vulnerabilidades
GFI LanGuard
Fuente: https://www.gfi.com
GFI LanGuard escanea, detecta, evalúa y rectifica vulnerabilidades de seguridad en una red y
sus dispositivos conectados. Esto se hace con un esfuerzo administrativo mínimo. Escanea los
sistemas operativos, entornos virtuales y aplicaciones instaladas a través de bases de datos
de verificación de vulnerabilidades. Permite analizar el estado de la seguridad de la red,
identificar riesgos y ofrecer soluciones antes de que el sistema pueda ser comprometido.
¿Qué es el Hacking Ético?
El hacking ético es la práctica de utilizar habilidades informáticas y de red para ayudar a las
organizaciones a probar la seguridad de su red en busca de posibles lagunas y
vulnerabilidades. Los White Hats (también conocidos como analistas de seguridad o hackers
éticos) son las personas o expertos que realizan el hacking ético. Hoy en día, la mayoría de las
organizaciones (como empresas privadas, universidades y organizaciones gubernamentales)
contratan a White Hats para ayudarles a mejorar su ciberseguridad. Realizan hacking de
manera ética, con el permiso del propietario de la red o sistema y sin la intención de causar
daño. Los hackers éticos informan de todas las vulnerabilidades al propietario del sistema y
de la red para su remediación, aumentando así la seguridad del sistema de información de
una organización.
El hacking ético implica el uso de herramientas, trucos y técnicas de hacking que un atacante
suele utilizar para verificar la existencia de vulnerabilidades explotables en la seguridad del
sistema. Hoy en día, el término hacking está estrechamente asociado con actividades ilegales
y no éticas. Existe un debate continuo sobre si el hacking puede ser ético o no, dado que el
acceso no autorizado a cualquier sistema es un delito. Considera las siguientes definiciones:
¿Qué es el Hacking Ético?
El sustantivo "hacker" se refiere a una persona que disfruta aprendiendo los detalles de los
sistemas informáticos y ampliando sus capacidades.
Los términos "cracker" y "atacante" se refieren a personas que emplean sus habilidades de
hacking con fines ofensivos.
La mayoría de las empresas emplean profesionales de TI para auditar sus sistemas en busca
de vulnerabilidades conocidas. Aunque esta es una práctica beneficiosa, los crackers suelen
estar más interesados en usar vulnerabilidades más nuevas y menos conocidas, por lo que
estas auditorías de sistema no son suficientes. Una empresa necesita a alguien que pueda
pensar como un cracker, mantenerse al día con las vulnerabilidades y exploits más recientes,
y reconocer posibles vulnerabilidades donde otros no pueden. Este es el papel del hacker
ético.
Los hackers éticos suelen emplear las mismas herramientas y técnicas que los hackers, con la
importante excepción de que no dañan el sistema. Evalúan la seguridad del sistema,
actualizan a los administradores sobre cualquier vulnerabilidad descubierta y recomiendan
procedimientos para parchear esas vulnerabilidades. La distinción importante entre hackers
éticos y crackers es el consentimiento. Los crackers intentan obtener acceso no autorizado a
los sistemas, mientras que los hackers éticos siempre son completamente abiertos y
transparentes sobre lo que están haciendo y cómo lo están haciendo. Por lo tanto, el hacking
ético es siempre legal.
¿Por qué es Necesario el Hacking Ético?
A medida que la tecnología crece a un ritmo acelerado, también lo hace el crecimiento de los
riesgos asociados con ella. ¡Para vencer a un hacker, es necesario pensar como uno!
Para prevenir que los hackers accedan a los sistemas de información de la organización.
Para descubrir vulnerabilidades en los sistemas y explorar su potencial como un riesgo.
Para analizar y fortalecer la postura de seguridad de una organización, incluyendo políticas,
infraestructura de protección de red y prácticas de usuarios finales.
Para proporcionar medidas preventivas adecuadas con el fin de evitar violaciones de
seguridad.
Para ayudar a proteger los datos del cliente.
Para mejorar la conciencia de seguridad en todos los niveles de un negocio.
¿Por qué es Necesario el Hacking Ético?
Un hacker ético debe conocer las penalidades del hacking no autorizado en un sistema. No se
deben comenzar actividades de hacking ético asociadas con una prueba de penetración de
red o auditoría de seguridad antes de recibir un documento legal firmado que otorgue al
hacker ético permiso expreso para realizar las actividades de hacking por parte de la
organización objetivo.
Alcance y Limitaciones del Hacking Ético
Los hackers éticos deben ser juiciosos con sus habilidades de hacking y reconocer las
consecuencias de abusar de esas habilidades. El hacker ético debe seguir ciertas reglas para
cumplir con sus obligaciones éticas y morales. Deben hacer lo siguiente:
Obtener autorización del cliente y tener un contrato firmado que otorgue al tester permiso
para realizar la prueba.
Mantener la confidencialidad al realizar la prueba y seguir un Acuerdo de No Divulgación
(NDA) con el cliente para la información confidencial revelada durante la prueba.
Realizar la prueba hasta, pero no más allá de los límites acordados.
Alcance y Limitaciones del Hacking Ético
Los siguientes pasos proporcionan un marco para realizar una auditoría de seguridad de una
organización:
Hablar con el cliente y discutir las necesidades a abordar durante las pruebas.
Preparar y firmar documentos NDA con el cliente.
Organizar un equipo de hacking ético y preparar el horario para las pruebas.
Realizar la prueba.
Analizar los resultados de las pruebas y preparar un informe.
Presentar los hallazgos del informe al cliente.
Habilidades de un Hacker Ético
Es esencial que un hacker ético adquiera el conocimiento y las habilidades para convertirse
en un experto hacker y usar este conocimiento de manera legal. Las habilidades técnicas y no
técnicas para ser un buen hacker ético se discuten a continuación:
Habilidades Técnicas
Conocimiento profundo de los principales entornos operativos, como Windows, Unix, Linux y
Macintosh.
Conocimiento profundo de conceptos de redes, tecnologías y hardware y software
relacionados.
Un experto en informática adepto a dominios técnicos.
Conocimiento de áreas de seguridad y problemas relacionados.
Alto conocimiento técnico sobre cómo lanzar ataques sofisticados.
Habilidades de un Hacker Ético
Habilidades No Técnicas
Las pruebas de penetración, también conocidas como "pentesting" o "ethical hacking", son
una evaluación de seguridad que simula un ataque a un sistema, red o aplicación para
identificar vulnerabilidades antes de que los atacantes maliciosos puedan explotarlas. Estas
pruebas son esenciales para mantener una postura de seguridad sólida y proteger los activos
de información de una organización.
Fundamentos de las Pruebas de Penetración y sus Beneficios
Pruebas externas: Se dirigen a los activos de la empresa que son visibles en Internet, como el
sitio web, las aplicaciones y los servidores de correo.
Pruebas internas: Simulan un ataque de un actor interno o un atacante que ya ha penetrado
en la red.
Pruebas ciegas: La organización proporciona solo información limitada al equipo de
pentesting.
Pruebas de doble ciego: Los defensores de la seguridad no son informados de la prueba,
simulando un ataque real.
Pruebas basadas en escenarios: Se basan en un escenario específico, como un ataque
dirigido a una aplicación o sistema específico.
Fundamentos de las Pruebas de Penetración y sus Beneficios
PTES (Penetration Testing Execution Standard): Proporciona una serie de fases para llevar a
cabo pruebas de penetración.
La prueba de penetración, también conocida como "pen testing", va un paso más allá del
escaneo de vulnerabilidades en la evaluación de seguridad. A diferencia del escaneo de
vulnerabilidades, que examina la seguridad de computadoras individuales, dispositivos de
red o aplicaciones, la prueba de penetración evalúa el modelo de seguridad de la red en su
conjunto. La prueba de penetración puede revelar las posibles consecuencias de un atacante
real ingresando a las cuentas de administradores de red, gerentes de TI y ejecutivos. También
arroja luz sobre las debilidades de seguridad que se pasan por alto en el escaneo de
vulnerabilidades típico.
Mostrar riesgos reales: El evaluador explota las vulnerabilidades identificadas para verificar
cómo se comportaría un atacante real.
¿Qué es la Prueba de Penetración?
Asegurar la continuidad del negocio: Una pequeña interrupción puede tener un gran
impacto en un negocio. Puede costar a la empresa decenas a miles de dólares. Por lo tanto, la
disponibilidad de la red, el acceso a los recursos y las comunicaciones 24/7 son necesarios
para operar el negocio. Una prueba de penetración revela amenazas potenciales y
recomienda soluciones para asegurar que la operación del negocio no se vea afectada por un
tiempo de inactividad inesperado o una pérdida de accesibilidad.
Reducir ataques en el extremo del cliente: Un atacante puede ingresar a los sistemas de una
organización desde el lado del cliente, especialmente a través de servicios web y formularios
en línea. Las empresas deben estar preparadas para proteger sus sistemas de tales ataques.
Si una organización sabe qué tipo de ataques puede esperar, entonces sabe las señales a
buscar y debe poder actualizar la aplicación.
¿Qué es la Prueba de Penetración?
Proteger la reputación de la empresa: Es importante que una empresa mantenga una buena
reputación con sus socios y clientes. Ganar la confianza y el apoyo de incluso los socios leales
es difícil si la empresa se ve afectada por una violación de datos o ataque. Las organizaciones
deben realizar pruebas de penetración regularmente para proteger sus datos y la confianza
de sus socios y clientes.
ROI para la Prueba de Penetración
Período de recuperación: Tiempo requerido para que el retorno de una inversión "repague"
la suma de la inversión original.
Valor presente neto: Valor presente de los flujos de efectivo futuros menos el precio de
compra.
ROI: Relación entre la ganancia neta de un proyecto planificado dividida por sus costos
totales, es decir, ROI = (Retornos Esperados − Costo de Inversión) / Costo de Inversión.
CTIA – ACADEMIA DE CIBERSEGURIDAD
Seguridad en
Aplicaciones
¿Qué es una Aplicación Segura?
Las organizaciones están utilizando cada vez más aplicaciones web para proporcionar
funciones comerciales de alto valor a sus clientes, como ventas en tiempo real,
transacciones, gestión de inventario entre múltiples proveedores, incluyendo comercio
electrónico B-B y B-C, gestión de flujo de trabajo y cadena de suministro, etc.
Un ataque exitoso a nivel de aplicación puede resultar en:
Pérdida financiera
Afectar la continuidad del negocio
Cierre del negocio
Divulgación de información empresarial
Dañar la reputación
Transacciones fraudulentas
Administración de Seguridad de Aplicaciones
Virtualización y Cloud
Computing
Ataque de Suplantación DHCP (DHCP Spoofing Attack)
Como resultado, la dirección IP del atacante recibe todo el tráfico del cliente. Luego, el
atacante captura todo el tráfico y lo reenvía a la puerta de enlace predeterminada adecuada.
El cliente piensa que todo está funcionando correctamente. Este tipo de ataque es difícil de
detectar por el cliente durante largos períodos. A veces, el cliente utiliza un servidor DHCP
falso en lugar del estándar. El servidor falso dirige al cliente a visitar sitios web falsos en un
intento de obtener sus credenciales.
Para mitigar un ataque de servidor DHCP falso, configure la conexión entre la interfaz y el
servidor falso como no confiable. Esta acción bloqueará todos los mensajes entrantes del
servidor DHCP desde esa interfaz.